|
отчет по ГОСТ. Отчет по ГОСТ 57580. Директор Аналитического центра
Таблицы, содержащие числовые значения оценок процессов системы ЗИ и направления ЗИ Процесс 1 – «Обеспечение защиты информации при управлении доступом» Результаты числовых значений мер, относящихся к процессу обеспечения защиты информации при управлении доступом, приведены в таблице В.1.
Таблица В.11 – Числовые значения мер процесса «Обеспечение защиты информации при управлении доступом»
Номер меры
| Содержание мер системы защиты информации
| ЕМЗИj
| Подпроцесс «Управление учетными записями и правами логического доступа»
| УЗП.1
| Осуществление логического доступа пользователями и эксплуатационным персоналом под уникальными и персонифицированными учетными записями
|
| УЗП.2
| Контроль соответствия фактического состава разблокированных учетных записей фактическому составу легальных субъектов логического доступа
|
| УЗП.3
| Контроль отсутствия незаблокированных учетных записей: • уволенных работников; • работников, отсутствующих на рабочем месте более 90 календарных дней; • работников внешних (подрядных) организаций, прекративших свою деятельность в организации
|
| УЗП.4
| Контроль отсутствия незаблокированных учетных записей неопределенного целевого назначения
|
| УЗП.5
| Документарное определение правил предоставления (отзыва) и блокирования логического доступа
| 1
| УЗП.6
| Назначение для всех ресурсов доступа распорядителя логического доступа (владельца ресурса доступа)
| 1
| УЗП.7
| Предоставление прав логического доступа по решению распорядителя логического доступа (владельца ресурса доступа)
| 1
| УЗП.8
| Хранение эталонной информации о предоставленных правах логического доступа и обеспечение целостности указанной информации
|
| УЗП.9
| Контроль соответствия фактических прав логического доступа эталонной информации о предоставленных правах логического доступа
|
| УЗП.10
| Исключение возможного бесконтрольного самостоятельного расширения пользователями предоставленных им прав логического доступа
| 1
| УЗП.11
| Исключение возможного бесконтрольного изменения пользователями параметров настроек средств и систем защиты информации, параметров настроек АС, связанных с защитой информации
| 1
| УЗП.12
| Контроль необходимости отзыва прав субъектов логического доступа при изменении их должностных обязанностей
|
| УЗП.13
| Контроль прекращения предоставления логического доступа и блокирование учетных записей при истечении периода (срока) предоставления логического доступа
| 1
| УЗП.14
| Установление фактов неиспользования субъектами логического доступа предоставленных им прав на осуществление логического доступа на протяжении периода времени, превышающего 90 дней
| 1
| УЗП.16
| Реализация контроля со стороны распорядителя логического доступа целесообразности дальнейшего предоставления прав логического доступа, не использованных субъектами на протяжении периода времени, указанного в мерах УЗП.14, УЗП.15
|
| УЗП.17
| Реализация возможности определения состава предоставленных прав логического доступа для конкретного ресурса доступа
|
| УЗП.18
| Реализация возможности определения состава предоставленных прав логического доступа для конкретного субъекта логического доступа
|
| УЗП.19
| Определение состава ролей, связанных с выполнением операций (транзакций) в АС, имеющих финансовые последствия для финансовой организации, клиентов и контрагентов, и ролей, связанных с контролем выполнения указанных операций (транзакций), запрет выполнения указанных ролей одним субъектом логического доступа
|
| УЗП.20
| Реализация правил управления правами логического доступа, обеспечивающих запрет совмещения одним субъектом логического доступа ролей, предусмотренных мерой УЗП.19
|
| УЗП.21
| Реализация правил управления правами логического доступа, обеспечивающих запрет совмещения одним субъектом логического доступа следующих функций: • эксплуатация и (или) контроль эксплуатации ресурса доступа, в том числе АС, одновременно с использованием по назначению ресурса доступа в рамках реализации бизнес-процесса финансовой организации; • создание и (или) модернизация ресурса доступа, в том числе АС, одновременно с использованием по назначению ресурса доступа в рамках реализации бизнес-процесса финансовой организации; • эксплуатация средств и систем защиты информации одновременно с контролем эксплуатации средств и систем защиты информации; • управление учетными записями субъектов логического доступа одновременно с управлением правами субъектов логического доступа
| 1
| УЗП.22
| Регистрация событий защиты информации, связанных с действиями, и контроль действий эксплуатационного персонала, обладающего привилегированными правами логического доступа, позволяющими осуществить деструктивное воздействие, приводящее к нарушению выполнения бизнес-процессов или технологических процессов финансовой организации
|
| УЗП.23
| Регистрация событий защиты информации, связанных с действиями, и контроль действий эксплуатационного персонала и пользователей, обладающих правами логического доступа, в том числе в АС, позволяющими осуществить операции (транзакции), приводящие к финансовым последствиям для финансовой организации, клиентов и контрагентов
|
| УЗП.24
| Регистрация событий защиты информации, связанных с действиями, и контроль действий эксплуатационного персонала, обладающего правами по управлению логическим доступом
|
| УЗП.25
| Регистрация событий защиты информации, связанных с действиями по управлению учетными записями и правами субъектов логического доступа
|
| УЗП.26
| Регистрация событий защиты информации, связанных с действиями, и контроль действий эксплуатационного персонала, обладающего правами по управлению техническими мерами, реализующими многофакторную аутентификацию
|
| УЗП.27
| Регистрация событий защиты информации, связанных с действиями, и контроль действий эксплуатационного персонала, обладающего правами по изменению параметров настроек средств и систем защиты информации, параметров настроек АС, связанных с защитой информации
|
| УЗП.28
| Регистрация событий защиты информации, связанных с действиями, и контроль действий эксплуатационного персонала, обладающего правами по управлению криптографическими ключами
|
|
| Итоговая оценка за подпроцесс ЕППЗИ1
| 0.32
| Подпроцесс «Идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа»
| РД.1
| Идентификация и однофакторная аутентификация пользователей
|
| РД.2
| Идентификация и многофакторная аутентификация пользователей
| 1
| РД.4
| Идентификация и многофакторная аутентификация эксплуатационного персонала
| 1
| РД.5
| Аутентификация программных сервисов, осуществляющих логический доступ с использованием технических учетных записей
|
| РД.6
| Аутентификация АРМ эксплуатационного персонала, используемых для осуществления логического доступа
| 1
| РД.8
| Сокрытие (неотображение) паролей при их вводе субъектами доступа
|
| РД.9
| Запрет использования учетных записей субъектов логического доступа с незаданными аутентификационными данными или заданными по умолчанию разработчиком ресурса доступа, в том числе разработчиком АС
|
| РД.10
| Запрет на использование групповых, общих и стандартных учетных записей и паролей, а также прочих подобных методов идентификации и аутентификации, не позволяющих определить конкретного субъекта доступа
|
| РД.11
| Временная блокировка учетной записи пользователей после выполнения ряда неуспешных последовательных попыток аутентификации на период времени не менее 30 мин.
|
| РД.12
| Запрет множественной аутентификации субъектов логического доступа с использованием одной учетной записи путем открытия параллельных сессий логического доступа с использованием разных АРМ, в том числе виртуальных
|
| РД.13
| Обеспечение возможности выполнения субъектом логического доступа — работниками финансовой организации процедуры принудительного прерывания сессии логического доступа и (или) приостановки осуществления логического доступа (с прекращением отображения на мониторе АРМ информации, доступ к которой получен в рамках сессии осуществления логического доступа)
| 1
| РД.14
| Автоматическое прерывание сессии логического доступа (приостановка осуществления логического доступа) по истечении установленного времени бездействия (неактивности) субъекта логического доступа, не превышающего 15 мин., с прекращением отображения на мониторе АРМ информации, доступ к которой получен в рамках сессии осуществления логического доступа
| 1
| РД.15
| Выполнение процедуры повторной аутентификации для продолжения осуществления логического доступа после его принудительного или автоматического прерывания (приостановки осуществления логического доступа), предусмотренного мерами PД.13 и РД.14
| 1
| РД.16
| Использование на АРМ субъектов логического доступа встроенных механизмов контроля изменения базовой конфигурации оборудования (пароль на изменение параметров конфигурации системы, хранящихся в энергонезависимой памяти)
|
| РД.17
| Запрет на использование технологии аутентификации с сохранением аутентификационных данных в открытом виде в СВТ
|
| РД.18
| Запрет на передачу аутентификационных данных в открытом виде по каналам и линиям связи и их передачу куда-либо, кроме средств или систем аутентификации
|
| РД.19
| Смена паролей пользователей не реже одного раза в год
|
| РД.20
| Смена паролей эксплуатационного персонала не реже одного раза в квартал
|
| РД.21
| Использование пользователями паролей длиной не менее восьми символов
|
| РД.22
| Использование эксплуатационным персоналом паролей длиной не менее шестнадцати символов
|
| РД.23
| Использование при формировании паролей субъектов логического доступа символов, включающих буквы (в верхнем и нижнем регистрах) и цифры
|
| РД.24
| Запрет использования в качестве паролей субъектов логического доступа легко вычисляемых сочетаний букв и цифр (например, имена, фамилии, наименования, общепринятые сокращения)
|
| РД.25
| Обеспечение возможности самостоятельной смены субъектами логического доступа своих паролей
|
| РД.26
| Хранение копий аутентификационных данных эксплуатационного персонала на выделенных МНИ или на бумажных носителях
|
| РД.27
| Реализация защиты копий аутентификационных данных эксплуатационного персонала от НСД при их хранении на МНИ или бумажных носителях
|
| РД.28
| Регистрация персонификации, выдачи (передачи) и уничтожения персональных технических устройств аутентификации, реализующих многофакторную аутентификацию
|
| РД.29
| Смена аутентификационных данных в случае их компрометации
|
| РД.30
| Авторизация логического доступа к ресурсам доступа, в том числе АС
|
| РД.31
| Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод) при разграничении логического доступа к ресурсам доступа
|
| РД.33
| Реализация необходимых типов (чтение, запись, выполнение или иной тип) и правил разграничения логического доступа к ресурсам доступа, в том числе АС
|
| РД.34
| Запрет реализации пользователями бизнес-процессов и технологических процессов финансовой организации с использованием учетных записей эксплуатационного персонала, в том числе в АС
|
| РД.35
| Запрет выполнения пользователями бизнес-процессов с использованием привилегированных прав логического доступа, в том числе работы пользователей с правами локального администратора АРМ
| 1
| РД.37
| Контроль состава разрешенных действий в АС до выполнения идентификации и аутентификации
|
| РД.38
| Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр
|
| РД.39
| Регистрация выполнения субъектами логического доступа ряда неуспешных последовательных попыток аутентификации
|
| РД.40
| Регистрация осуществления субъектами логического доступа идентификации и аутентификации
|
| РД.41
| Регистрация авторизации, завершения и (или) прерывания (приостановки) осуществления эксплуатационным персоналом и пользователями логического доступа, в том числе в АС
|
| РД.42
| Регистрация запуска программных сервисов, осуществляющих логический доступ
|
| РД.43
| Регистрация изменений аутентификационных данных, используемых для осуществления логического доступа
|
| РД.44
| Регистрация действий пользователей и эксплуатационного персонала, предусмотренных в случае компрометации их аутентификационных данных
|
|
| Итоговая оценка за подпроцесс ЕППЗИ2
| 0.16
| Подпроцесс «Защита информации при осуществлении физического доступа»
| ФД.1
| Документарное определение правил предоставления физического доступа
|
| ФД.2
| Контроль перечня лиц, которым предоставлено право самостоятельного физического доступа в помещения
|
| ФД.3
| Контроль самостоятельного физического доступа в помещения для лиц, не являющихся работниками финансовой организации
|
| ФД.4
| Контроль самостоятельного физического доступа в помещения для технического (вспомогательного) персонала
|
| ФД.5
| Осуществление физического доступа лицами, которым не предоставлено право самостоятельного доступа в помещения, только под контролем работников финансовой организации, которым предоставлено такое право
|
| ФД.6
| Назначение для всех помещений распорядителя физического доступа
|
| ФД.7
| Предоставление права самостоятельного физического доступа в помещения по решению распорядителя физического доступа
|
| ФД.8
| Оборудование входных дверей помещения механическими замками, обеспечивающими надежное закрытие помещений в нерабочее время
|
| ФД.12
| Расположение серверного и сетевого оборудования в запираемых серверных стоечных шкафах
|
| ФД.13
| Контроль доступа к серверному и сетевому оборудованию, расположенному в запираемых серверных стоечных шкафах
|
| ФД.15
| Хранение архивов информации средств видеонаблюдения не менее 14 дней (в случае применения средств видеонаблюдения)
|
| ФД.17
| Регистрация доступа к общедоступным объектам доступа с использованием средств видеонаблюдения
|
| ФД.18
| Хранение архивов информации средств видеонаблюдения, регистрирующих доступ к общедоступным объектам доступа, не менее 14 дней
|
| ФД.19
| Контроль состояния общедоступных объектов доступа с целью выявлений несанкционированных изменений в их аппаратном обеспечении и (или) ПО
|
| ФД.20
| Приведение общедоступных объектов доступа, для которых были выявлены несанкционированные изменения в их аппаратном обеспечении и (или) ПО (до устранения указанных несанкционированных изменений), в состояние, при котором невозможно их использование для осуществления операции (транзакции), приводящей к финансовым последствиям для финансовой организации, клиентов и контрагентов
|
|
| Итоговая оценка за подпроцесс ЕППЗИ3
| 0.00
| Подпроцесс «Идентификация и учет ресурсов и объектов доступа»
| ИУ.1
| Учет созданных, используемых и (или) эксплуатируемых ресурсов доступа
|
| ИУ.2
| Учет используемых и (или) эксплуатируемых объектов доступа
|
| ИУ.3
| Учет эксплуатируемых общедоступных объектов доступа (в том числе банкоматов, платежных терминалов)
|
| ИУ.4
| Контроль фактического состава созданных, используемых и (или) эксплуатируемых ресурсов доступа (баз данных, сетевых файловых ресурсов, виртуальных машин) и их корректного размещения в сегментах вычислительных сетей финансовой организации
|
| ИУ.5
| Контроль выполнения операций по созданию, удалению и резервному копированию ресурсов доступа (баз данных, сетевых файловых ресурсов, виртуальных машин)
|
| ИУ.6
| Контроль фактического состава эксплуатируемых объектов доступа и их корректного размещения в сегментах вычислительных сетей финансовой организации
|
| ИУ.7
| Регистрация событий защиты информации, связанных с созданием, копированием, в том числе резервным, и (или) удалением ресурсов доступа (баз данных, сетевых файловых ресурсов, виртуальных машин)
|
|
| Итоговая оценка за подпроцесс ЕППЗИ4
| 0.00
| Итоговая оценка за процесс ЕПЗИ1
|
| |
|
|