Базовый состав мер. Базовый состав мер защиты информации
 Скачать 92.99 Kb.
|
| РД.16 | Использование на АРМ субъектов логического доступа встроенных механизмов контроля изменения базовой конфигурации оборудования (пароль на изменение параметров конфигурации системы, хранящихся в энергонезависимой памяти) | Т | Т | Т |
| 2.2 Организация управления и организация защиты идентификационных и аутентификационных данных | ||||
| РД.17 | Запрет на использование технологии аутентификации с сохранением аутентификационных данных в открытом вида в СВТ | Т | Т | Т |
| РД.18 | Запрет на передачу аутентификационных данных в открытом виде по каналам и линиям связи и их передачу куда-либо, кроме средств или систем аутентификации | Т | Т | Т |
| РД.19 | Смена паролей пользователей не реже одного раза в год | Т | Т | Т |
| РД.20 | Смена паролей эксплуатационного персонала не реже одного раза в квартал | Т | Т | Т |
| РД.21 | Использование пользователями паролей длиной не менее восьми символов | Т | Т | Т |
| РД.22 | Использование эксплуатационным персоналом паролей длиной не менее шестнадцати символов | Т | Т | Т |
| РД.23 | Использование при формировании паролей субъектов логического доступа символов, включающих буквы (в верхнем и нижнем регистрах) и цифры | Т | Т | Т |
| РД.24 | Запрет использования в качестве паролей субъектов логического доступа легко вычисляемых сочетаний буке и цифр (например, имена, фамилии, наименования, общепринятые сокращения) | Н | О | О |
| РД.25 | Обеспечение возможности самостоятельной смены субъектами логического доступа своих паролей | Т | Т | Т |
| РД.26 | Хранение копий аутентификационных данных эксплуатационного персонала на выделенных МНИ или на бумажных носителях | О | О | О |
| РД.27 | Реализация защиты копий аутентификационных данных эксплуатационного персонала от НСД при их хранении на МНИ или бумажных носителях | О | О | О |
| РД.28 | Регистрация персонификации, выдачи (передачи) и уничтожения персональных технических устройств аутентификации, реализующих многофакторную аутентификацию | О | О | О |
| РД.29 | Смена аутентификационных данных в случае их компрометации | О | О | О |
| 2.3 Авторизация (разграничению доступа) при осуществлении логического доступа | ||||
| РД.30 | Авторизация логического доступа к ресурсам доступа, в том числе АС | Т | Т | Т |
| РД.31 | Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод) при разграничении логического доступа к ресурсам доступа | Т | Т | Т |
| РД.32 | Реализация ролевого метода (с определением для каждой роли прав доступа) при разграничении логического доступа в АС | Н | Н | Т |
| РД.33 | Реализация необходимых типов {чтение, запись, выполнение или иной тип) и правил разграничения логического доступа к ресурсам доступа, в том числе АС | Т | Т | Т |
| РД.34 | Запрет реализации пользователями бизнес-процессов и технологических процессов финансовой организации с использования учетных записей эксплуатационного персонала, в том числе в АС | О | Т | Т |
| РД.35 | Запрет выполнения пользователями бизнес-процессов с использованием привилегированных прав логического доступа, в том числе работы пользователей с правами локального администратора АРМ | Т | Т | Т |
| РД.36 | Оповещение субъекта логического доступа после успешной авторизации о дате и времени его предыдущей авторизации в АС | Н | Н | Т |
| РД.37 | Контроль состава разрешенных действий в АС до выполнения идентификации и аутентификации | Н | Т | Т |
| РД.38 | Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр | О | О | О |
| 2.4 Регистрация событий защиты информации, связанных с идентификацией, аутентификацией и авторизацией (разграничением доступа) при осуществлении логического доступа | ||||
| РД.39 | Регистрация выполнения субъектами логического доступа рада неуспешных последовательных попыток аутентификации | Н | Т | Т |
| РД.40 | Регистрация осуществления субъектами логического доступа идентификации и аутентификации | Т | Т | Т |
| РД.41 | Регистрация авторизации, завершения и (или) прерывания (приостановки) осуществления эксплуатационным персоналом и пользователями логического доступа, в том числе в АС | Т | Т | Т |
| РД.42 | Регистрация запуска программных сервисов, осуществляющих логический доступ | Н | Т | Т |
| РД.43 | Регистрация изменений аутентификационных данных, используемых для осуществления логического доступа | Н | Т | Т |
| РД.44 | Регистрация действий пользователей и эксплуатационного персонала, предусмотренных в случае компрометации их аутентификационных данных | Н | О | О |
| 3. Защита информации при осуществлении физического доступа (ФД) | ||||
| 3.1 Организация и контроль физического доступа в помещения | ||||
| ФД.1 | Документарное определение правил предоставления физического доступа | Н | О | О |
| ФД.2 | Контроль перечня лиц. которым предоставлено право самостоятельного физического доступа в помещения | О | О | Т |
| ФД.3 | Контроль самостоятельного физического доступа в помещения для лиц, не являющихся работниками финансовой организации | Н | О | Т |
| ФД.4 | Контроль самостоятельного физического доступа в помещения для технического (вспомогательного) персонала | Н | О | Т |
| ФД.5 | Осуществление физического доступа лицами, которым не предоставлено право самостоятельного доступа в помещения, только под контролем работников финансовой организации, которым предоставлено такое право | Н | О | О |
| ФД.6 | Назначение для всех помещений распорядителя физического доступа | О | О | О |
| ФД.7 | Предоставление права самостоятельного физического доступа в помещения по решению распорядителя физического доступа | О | О | О |
| ФД.8 | Оборудование входных дверей помещения механическими замками, обеспечивающими надежное закрытие помещений в нерабочее время | О | О | О |
| ФД.9 | Оборудование помещений средствами (системами) контроля и управления доступом | Н | Н | Т |
| ФД.10 | Оборудование помещений средствами видеонаблюдения | Н | Н | Т |
| ФД.11 | Оборудование помещений средствами охранной и пожарной сигнализации | Н | Н | Т |
| ФД.12 | Расположение серверного и сетевого оборудования в запираемых серверных стоечных шкафах | Н | О | О |
| ФД.13 | Контроль доступа к серверному и сетевому оборудованию, расположенному в запираемых серверных стоечных шкафах | Н | О | О |
| ФД.14 | Хранение архивов информации средств (систем) контроля и управления доступом не менее трех лет | Н | Н | Т |
| ФД.15 | Хранение архивов информации средств видеонаблюдения не менее 14 дней (в случае применения средств видеонаблюдения) | Н | Т | Н |
| ФД.16 | Хранение архивов информации средств видеонаблюдения не менее 90 дней | Н | Н | Т |
| 3.2 Организация и контроль физического доступа к общедоступным объектам доступа | ||||
| ФД.17 | Регистрация доступа к общедоступным объектам доступа с использованием средств видеонаблюдения | Н | Т | Т |
| ФД.18 | Хранение архивов информации средств видеонаблюдения, регистрирующих доступ к общедоступным объектам доступа, не менее 14 дней | Н | Т | Т |
| ФД.19 | Контроль состояния общедоступных объектов доступа с целью выявлений несанкционированных изменений в их аппаратном обеспечении и (или) ПО | О | О | О |
| ФД.20 | Приведение общедоступных объектов доступа, для которых были выявлены несанкционированные изменения в их аппаратном обеспечении и (или) ПО (до устранения указанных несанкционированных изменений), в состояние, при котором невозможно их использование для осуществления операции (транзакции), приводящей к финансовым последствиям для финансовой организации, клиентов и контрагентов | О | О | О |
| 3.3 Регистрация событий, связанных с физическим доступом | ||||
| ФД.21 | Регистрация событий защиты информации, связанных с входом (выходом) в помещения (из помещений), в которых расположены объекты доступа | Н | Н | Т |
| 4 Идентификация и учет ресурсов и объектов доступа (ИУ) | ||||
| 4.1 Организация учета и контроля состава ресурсов и объектов доступа | ||||
| ИУ.1 | Учет созданных, используемых и (или) эксплуатируемых ресурсов доступа | О | Т | Т |
| ИУ.2 | Учет используемых и (или) эксплуатируемых объектов доступа | О | О | Т |
| ИУ.3 | Учет эксплуатируемых общедоступных объектов доступа (в том числе банкоматов. платежных терминалов) | О | О | Т |
| ИУ.4 | Контроль фактического состава созданных, используемых и (или) эксплуатируемых ресурсов доступа (баз данных, сетевых файловых ресурсов, виртуальных машин) и их корректного размещения в сегментах вычислительных сетей финансовой организации | О | Т | Т |
| ИУ.5 | Контроль выполнения операций по созданию, удалению и резервному копированию ресурсов доступа (баз данных, сетевых файловых ресурсов, виртуальных машин) | Н | Т | Т |
| ИУ.6 | Контроль фактического состава эксплуатируемых объектов доступа и их корректного размещения е сегментах вычислительных сетей финансовой организации | Н | О | Т |
| 4.2 Регистрация событий защиты информации, связанных с операциями по изменению состава ресурсов и объектов доступа | ||||
| ИУ.7 | Регистрация событий защиты информации, связанных с созданием, копированием, в том числе резервным, и (или) удалением ресурсов доступа (баз данных, сетевых файловых ресурсов, виртуальных машин) | Н | Т | Т |
| ИУ.8 | Регистрация событий защиты информации, связанных с подключением (регистрацией) объектов доступа в вычислительных сетях финансовой организации | Н | Н | Т |