Базовый состав мер. Базовый состав мер защиты информации
 Скачать 92.99 Kb.
|
|
15 Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств (ЗУД) | ||||
| 15.1 Защита информации от раскрытия и модификации при осуществлении удаленного доступа | ||||
| ЗУД.1 | Определение правил удаленного доступа и перечня ресурсов доступа, к которым предоставляется удаленный доступ | О | О | О |
| ЗУД.2 | Аутентификация мобильных (переносных) устройств удаленного доступа | Т | Т | Т |
| ЗУД.3 | Предоставление удаленного доступа только с использованием мобильных (переносных) устройств доступа, находящихся под контролем системы централизованного управления и мониторинга (системы Mobile Device Management, MOM) | Н | Т | Т |
| ЗУД.4 | Реализация защиты информации от раскрытия и модификации, применение двухсторонней взаимной аутентификации участников информационного обмена при ее передаче при осуществлении удаленного логического доступа | Т | Т | Т |
| 15.2 Защита внутренних вычислительных сетей при осуществлении удаленного доступа | ||||
| ЗУД.5 | Идентификация, двухфакторная аутентификация и авторизация субъектов доступа после установления защищенного сетевого взаимодействия, выполнения аутентификации, предусмотренной мерами ЗУД.2 и ЗУД.4 | Т | Т | Т |
| ЗУД.6 | Запрет прямого сетевого взаимодействия мобильных (переносных) устройств доступа и внутренних сетей финансовой организации на уровне выше второго (канальный) по семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1 | Н | Т | Т |
| ЗУД.7 | Реализация доступа к ресурсам сети Интернет только через информационную инфраструктуру финансовой организации после установления защищенного сетевого взаимодействия, выполнения аутентификации, предусмотренной мерами ЗУД.2 и ЗУД.4 | Н | Т | Т |
| ЗУД.8 | Контентный анализ информации, передаваемой мобильными (переносными) устройствами в сеть Интернет с использованием информационной инфраструктуры финансовой организации | Н | Т | Т |
| ЗУД.9 | Реализация и контроль информационного взаимодействия внутренних вычислительных сетей финансовой организации и мобильных (переносных) устройств в соответствии с установленными правилами и протоколами сетевого взаимодействия | Т | Т | Т |
| 15.3 Защита информации от раскрытия и модификации при ее обработке и хранении на мобильных (переносных) устройствах | ||||
| ЗУД.10 | Применение системы централизованного управления и мониторинга (MDM-снстемы), реализующей: • шифрование и возможность удаленного удаления информации, полученной в результате взаимодействия с информационными ресурсами финансовой организации; • аутентификацию пользователей на устройстве доступа; • блокировку устройства по истечении определенного промежутка времени неактивности пользователя, требующую выполнения повторной аутентификации пользователя на устройстве доступа; • управление обновлениями системного ПО устройств доступа; • управление параметрами настроек безопасности системного ПО устройств доступа; • управление составом и обновлениями прикладного ПО; • невозможность использования мобильного (переносного) устройства в режиме USB-накопителя. а также в режиме отладки; • управление ключевой информацией, используемой для организации защищенного сетевого взаимодействия; • возможность определения местонахождения устройства доступа; • регистрацию смены SIM-карты; • запрет переноса информации в облачные хранилища данных, расположенные в общедоступных сетях (например. iCIoud); • обеспечение возможности централизованного управления и мониторинга при смене SIM-карты | Н | Т | Т |
| ЗУД.11 | Обеспечение защиты мобильных (переносных) устройств от воздействий вредоносного кода | Т | Т | Т |
| ЗУД.12 | Стирание информации конфиденциального характера с мобильных (переносных) устройств средствами, обеспечивающими полную перезапись данных, при осуществлении вывода мобильных (переносных) устройств из эксплуатации, а также при необходимости их передачи в сторонние организации. между работниками и (или) структурными подразделениями финансовой организации | Т | Т | Т |
| 16 Планирование процесса системы защиты информации (ПЗИ) | ||||
| ПЗИ.1 | Документарное определение области применения процесса системы защиты информации (область применения процесса системы защиты информации определяется в соответствии с положениями нормативных актов Банка России) для уровней информационной инфраструктуры | О | О | О |
| ПЗИ.2 | Документарное определение состава и содержания организационных мер защиты информации, выбранных финансовой организацией и реализуемых в рамках процесса системы защиты информации | О | О | О |
| ПЗИ.3 | Документарное определение порядка применения организационных мер защиты информации, реализуемых в рамках процесса системы защиты информации | О | О | О |
| ПЗИ.4 | Документарное определение состава и содержания технических мер защиты информации, выбранных финансовой организацией и реализуемых в рамках процесса системы защиты информации | О | О | О |
| ПЗИ.5 | Документарное определение порядка применения технических мер защиты информации, реализуемых в рамсах процесса системы защиты информации, включающего: • правила размещения технических мер защиты информации в информационной инфраструктуре; • параметры настроек технических мер защиты информации и информационной инфраструктуры, предназначенных для размещения технических мер защиты информации; • руководства по применению технических мер защиты информации (включающие руководства по эксплуатации, контролю эксплуатации и использованию по назначению технических мер защиты информации); • состав ролей и права субъектов доступа, необходимых для обеспечения применения технических мер защиты информации (включающего эксплуатацию. контроль эксплуатации и использование по назначению мер защиты информации) | О | О | О |
| 17 Реализация процесса системы защиты информации (РЗИ) | ||||
| РЗИ.1 | Реализация учета объектов и ресурсов доступа, входящих в область применения процесса системы защиты информации, для уровней информационной инфраструктуры, в том числе объектов доступа, расположенных в публичных (общедоступных) местах (в том числе банкоматах, платежных терминалах) | О | О | Т |
| РЗИ.2 | Размещение и настройка (конфигурирование) технических мер защиты информации в информационной инфраструктуре финансовой организации | О | О | Т |
| РЗИ.3 | Контроль (тестирование) полноты реализации технических мер защиты информации | О | О | О |
| РЗИ.4 | Назначение работникам финансовой организации ролей, связанных с применением мер защиты информации, и установление обязанности и ответственности за их выполнение | О | О | О |
| РЗИ.5 | Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной инфраструктуры | О | О | О |
| РЗИ.6 | Реализация эксплуатации, использования по назначению технических мер защиты информации | О | О | О |
| РЗИ.7 | Реализация применения организационных мер защиты информации | Н | Н | Т |
| РЗИ.8 | Реализация централизованного управления техническими мерами защиты информации | Н | Н | Т |
| РЗИ.9 | Обеспечение доступности технических мер защиты информации: • применение отказоустойчивых технических решений; • резервирование информационной инфраструктуры, необходимой для функционирования технических мер защиты информации; • осуществление контроля безотказного функционирования технических мер защиты информации; • принятие регламентированных мер по восстановлению отказавших технических мер защиты информации информационной инфраструктуры, необходимых для их функционирования | Н | Н | Т |
| РЗИ.10 | Обеспечение возможности сопровождения технических мер защиты информации в течение всего срока их использования | Н | О | О |
| РЗИ.11 | Применение сертифицированных по требованиям безопасности информации средств защиты информации не ниже 4 класса (в случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации) | Н | Н | Т |
| РЗИ.12 | Применение сертифицированных по требованиям безопасности информации средств защиты информации не ниже 5 класса (в случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации) | Н | Т | Н |
| РЗИ.13 | Применение сертифицированных по требованиям безопасности информации средств защиты информации не ниже 6 класса (в случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации) | Т | Н | Н |
| РЗИ.14 | Применение СКЗИ. имеющих класс не ниже КС2 (в случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации) | Н | Н | Т |
| РЗИ.15 | Обучение, практическая подготовка (переподготовка) работников финансовой организации, ответственных за применение мер защиты информации в рамках процесса защиты информации | О | О | О |
| РЗИ.16 | Повышение осведомленности (инструктаж) работников финансовой организации в области реализации процесса защиты информации, применения организационных мер защиты информации, использования по назначению технических мер защиты информации | О | О | О |
| 18 Контроль процесса системы защиты информации (КЗИ) | ||||
| КЗИ.1 | Контроль фактического состава объектов и ресурсов доступа, входящих в область применения процесса системы защиты информации, на соответствие учетным данным, формируемым в рамках выполнения меры РЗИ.1 | О | О | Т |
| КЗИ.2 | Контроль эксплуатации и использования по назначению технических мер защиты информации, включающий: • контроль фактического размещения технических мер защиты информации в информационной инфраструктуре финансовой организации; • контроль фактических параметров настроек технических мер защиты информации и компонентов информационной инфраструктуры, предназначенных для размещения технических мер защиты информации | О | О | Т |
| КЗИ.3 | Контроль эксплуатации и использования по назначению технических мер защиты информации, включающий: • контроль назначения ролей, связанных с эксплуатацией и использованием по назначению технических мер защиты информации; • контроль выполнения руководств по эксплуатации и использованию по назначению технических мер защиты информации | О | О | О |
| КЗИ.4 | Периодический контроль (тестирование) полноты реализации технических мер защиты информации | О | Т | Т |
| КЗИ.5 | Контроль применения организационных мер защиты информации | О | О | О |
| КЗИ.6 | Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование | О | О | Т |
| КЗИ.7 | Проведение проверок знаний работников финансовой организации в части применения мер защиты информации в рамках процесса системы защиты информации | О | О | О |
| КЗИ.8 | Фиксация результатов (свидетельств) проведения мероприятий по контролю реализации процесса системы защиты информации, проводимых в соответствии с мерами КЗИ.1 – КЗИ.7 | О | О | О |
| 18.1 Контроль процесса системы защиты информации в части регистрации событий защиты информации | ||||
| КЗИ.9 | Регистрация операций по установке и (или) обновлению ПО технических средств защиты информации | Н | Т | Т |
| КЗИ.10 | Регистрация операций по обновлению сигнатурных баз технических средств защиты информации (в случае их использования) | Н | Т | Т |
| КЗИ.11 | Регистрация операций по изменению параметров настроек технических мер защиты информации и информационной инфраструктуры, предназначенных для размещения технических мер защиты информации | Н | Т | Т |
| КЗИ.12 | Регистрация сбоев (отказов) технических мед защиты информации | Н | Т | Т |