Главная страница
Навигация по странице:

  • Номер меры Содержание мер системы защиты информации Е МЗИj

  • Подпроцесс «Управление учетными записями и правами логического доступа»

  • Итоговая оценка за подпроцесс ЕППЗИ

  • отчет по ГОСТ. Отчет по ГОСТ 57580. Директор Аналитического центра


    Скачать 162.03 Kb.
    НазваниеДиректор Аналитического центра
    Анкоротчет по ГОСТ
    Дата24.02.2022
    Размер162.03 Kb.
    Формат файлаdocx
    Имя файлаОтчет по ГОСТ 57580.docx
    ТипДокументы
    #372036
    страница9 из 18
    1   ...   5   6   7   8   9   10   11   12   ...   18

    Таблицы, содержащие числовые значения оценок процессов системы ЗИ и направления ЗИ

    Процесс 1 – «Обеспечение защиты информации при управлении доступом»


    Результаты числовых значений мер, относящихся к процессу обеспечения защиты информации при управлении доступом, приведены в таблице В.1.

    Таблица В.11 – Числовые значения мер процесса «Обеспечение защиты информации при управлении доступом»

    Номер меры

    Содержание мер системы защиты информации

    ЕМЗИj

    Подпроцесс «Управление учетными записями и правами логического доступа»

    УЗП.1

    Осуществление логического доступа пользователями и эксплуатационным персоналом под уникальными и персонифицированными учетными записями




    УЗП.2

    Контроль соответствия фактического состава разблокированных учетных записей фактическому составу легальных субъектов логического доступа




    УЗП.3

    Контроль отсутствия незаблокированных учетных записей: • уволенных работников; • работников, отсутствующих на рабочем месте более 90 календарных дней; • работников внешних (подрядных) организаций, прекративших свою деятельность в организации




    УЗП.4

    Контроль отсутствия незаблокированных учетных записей неопределенного целевого назначения




    УЗП.5

    Документарное определение правил предоставления (отзыва) и блокирования логического доступа

    1

    УЗП.6

    Назначение для всех ресурсов доступа распорядителя логического доступа (владельца ресурса доступа)

    1

    УЗП.7

    Предоставление прав логического доступа по решению распорядителя логического доступа (владельца ресурса доступа)

    1

    УЗП.8

    Хранение эталонной информации о предоставленных правах логического доступа и обеспечение целостности указанной информации




    УЗП.9

    Контроль соответствия фактических прав логического доступа эталонной информации о предоставленных правах логического доступа




    УЗП.10

    Исключение возможного бесконтрольного самостоятельного расширения пользователями предоставленных им прав логического доступа

    1

    УЗП.11

    Исключение возможного бесконтрольного изменения пользователями параметров настроек средств и систем защиты информации, параметров настроек АС, связанных с защитой информации

    1

    УЗП.12

    Контроль необходимости отзыва прав субъектов логического доступа при изменении их должностных обязанностей




    УЗП.13

    Контроль прекращения предоставления логического доступа и блокирование учетных записей при истечении периода (срока) предоставления логического доступа

    1

    УЗП.14

    Установление фактов неиспользования субъектами логического доступа предоставленных им прав на осуществление логического доступа на протяжении периода времени, превышающего 90 дней

    1

    УЗП.16

    Реализация контроля со стороны распорядителя логического доступа целесообразности дальнейшего предоставления прав логического доступа, не использованных субъектами на протяжении периода времени, указанного в мерах УЗП.14, УЗП.15




    УЗП.17

    Реализация возможности определения состава предоставленных прав логического доступа для конкретного ресурса доступа




    УЗП.18

    Реализация возможности определения состава предоставленных прав логического доступа для конкретного субъекта логического доступа




    УЗП.19

    Определение состава ролей, связанных с выполнением операций (транзакций) в АС, имеющих финансовые последствия для финансовой организации, клиентов и контрагентов, и ролей, связанных с контролем выполнения указанных операций (транзакций), запрет выполнения указанных ролей одним субъектом логического доступа




    УЗП.20

    Реализация правил управления правами логического доступа, обеспечивающих запрет совмещения одним субъектом логического доступа ролей, предусмотренных мерой УЗП.19




    УЗП.21

    Реализация правил управления правами логического доступа, обеспечивающих запрет совмещения одним субъектом логического доступа следующих функций: • эксплуатация и (или) контроль эксплуатации ресурса доступа, в том числе АС, одновременно с использованием по назначению ресурса доступа в рамках реализации бизнес-процесса финансовой организации; • создание и (или) модернизация ресурса доступа, в том числе АС, одновременно с использованием по назначению ресурса доступа в рамках реализации бизнес-процесса финансовой организации; • эксплуатация средств и систем защиты информации одновременно с контролем эксплуатации средств и систем защиты информации; • управление учетными записями субъектов логического доступа одновременно с управлением правами субъектов логического доступа

    1

    УЗП.22

    Регистрация событий защиты информации, связанных с действиями, и контроль действий эксплуатационного персонала, обладающего привилегированными правами логического доступа, позволяющими осуществить деструктивное воздействие, приводящее к нарушению выполнения бизнес-процессов или технологических процессов финансовой организации




    УЗП.23

    Регистрация событий защиты информации, связанных с действиями, и контроль действий эксплуатационного персонала и пользователей, обладающих правами логического доступа, в том числе в АС, позволяющими осуществить операции (транзакции), приводящие к финансовым последствиям для финансовой организации, клиентов и контрагентов




    УЗП.24

    Регистрация событий защиты информации, связанных с действиями, и контроль действий эксплуатационного персонала, обладающего правами по управлению логическим доступом




    УЗП.25

    Регистрация событий защиты информации, связанных с действиями по управлению учетными записями и правами субъектов логического доступа




    УЗП.26

    Регистрация событий защиты информации, связанных с действиями, и контроль действий эксплуатационного персонала, обладающего правами по управлению техническими мерами, реализующими многофакторную аутентификацию




    УЗП.27

    Регистрация событий защиты информации, связанных с действиями, и контроль действий эксплуатационного персонала, обладающего правами по изменению параметров настроек средств и систем защиты информации, параметров настроек АС, связанных с защитой информации




    УЗП.28

    Регистрация событий защиты информации, связанных с действиями, и контроль действий эксплуатационного персонала, обладающего правами по управлению криптографическими ключами







    Итоговая оценка за подпроцесс ЕППЗИ1

    0.32

    Подпроцесс «Идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа»

    РД.1

    Идентификация и однофакторная аутентификация пользователей




    РД.2

    Идентификация и многофакторная аутентификация пользователей

    1

    РД.4

    Идентификация и многофакторная аутентификация эксплуатационного персонала

    1

    РД.5

    Аутентификация программных сервисов, осуществляющих логический доступ с использованием технических учетных записей




    РД.6

    Аутентификация АРМ эксплуатационного персонала, используемых для осуществления логического доступа

    1

    РД.8

    Сокрытие (неотображение) паролей при их вводе субъектами доступа




    РД.9

    Запрет использования учетных записей субъектов логического доступа с незаданными аутентификационными данными или заданными по умолчанию разработчиком ресурса доступа, в том числе разработчиком АС




    РД.10

    Запрет на использование групповых, общих и стандартных учетных записей и паролей, а также прочих подобных методов идентификации и аутентификации, не позволяющих определить конкретного субъекта доступа




    РД.11

    Временная блокировка учетной записи пользователей после выполнения ряда неуспешных последовательных попыток аутентификации на период времени не менее 30 мин.




    РД.12

    Запрет множественной аутентификации субъектов логического доступа с использованием одной учетной записи путем открытия параллельных сессий логического доступа с использованием разных АРМ, в том числе виртуальных




    РД.13

    Обеспечение возможности выполнения субъектом логического доступа — работниками финансовой организации процедуры принудительного прерывания сессии логического доступа и (или) приостановки осуществления логического доступа (с прекращением отображения на мониторе АРМ информации, доступ к которой получен в рамках сессии осуществления логического доступа)

    1

    РД.14

    Автоматическое прерывание сессии логического доступа (приостановка осуществления логического доступа) по истечении установленного времени бездействия (неактивности) субъекта логического доступа, не превышающего 15 мин., с прекращением отображения на мониторе АРМ информации, доступ к которой получен в рамках сессии осуществления логического доступа

    1

    РД.15

    Выполнение процедуры повторной аутентификации для продолжения осуществления логического доступа после его принудительного или автоматического прерывания (приостановки осуществления логического доступа), предусмотренного мерами PД.13 и РД.14

    1

    РД.16

    Использование на АРМ субъектов логического доступа встроенных механизмов контроля изменения базовой конфигурации оборудования (пароль на изменение параметров конфигурации системы, хранящихся в энергонезависимой памяти)




    РД.17

    Запрет на использование технологии аутентификации с сохранением аутентификационных данных в открытом виде в СВТ




    РД.18

    Запрет на передачу аутентификационных данных в открытом виде по каналам и линиям связи и их передачу куда-либо, кроме средств или систем аутентификации




    РД.19

    Смена паролей пользователей не реже одного раза в год




    РД.20

    Смена паролей эксплуатационного персонала не реже одного раза в квартал




    РД.21

    Использование пользователями паролей длиной не менее восьми символов




    РД.22

    Использование эксплуатационным персоналом паролей длиной не менее шестнадцати символов




    РД.23

    Использование при формировании паролей субъектов логического доступа символов, включающих буквы (в верхнем и нижнем регистрах) и цифры




    РД.24

    Запрет использования в качестве паролей субъектов логического доступа легко вычисляемых сочетаний букв и цифр (например, имена, фамилии, наименования, общепринятые сокращения)




    РД.25

    Обеспечение возможности самостоятельной смены субъектами логического доступа своих паролей




    РД.26

    Хранение копий аутентификационных данных эксплуатационного персонала на выделенных МНИ или на бумажных носителях




    РД.27

    Реализация защиты копий аутентификационных данных эксплуатационного персонала от НСД при их хранении на МНИ или бумажных носителях




    РД.28

    Регистрация персонификации, выдачи (передачи) и уничтожения персональных технических устройств аутентификации, реализующих многофакторную аутентификацию




    РД.29

    Смена аутентификационных данных в случае их компрометации




    РД.30

    Авторизация логического доступа к ресурсам доступа, в том числе АС




    РД.31

    Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод) при разграничении логического доступа к ресурсам доступа




    РД.33

    Реализация необходимых типов (чтение, запись, выполнение или иной тип) и правил разграничения логического доступа к ресурсам доступа, в том числе АС




    РД.34

    Запрет реализации пользователями бизнес-процессов и технологических процессов финансовой организации с использованием учетных записей эксплуатационного персонала, в том числе в АС




    РД.35

    Запрет выполнения пользователями бизнес-процессов с использованием привилегированных прав логического доступа, в том числе работы пользователей с правами локального администратора АРМ

    1

    РД.37

    Контроль состава разрешенных действий в АС до выполнения идентификации и аутентификации




    РД.38

    Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр




    РД.39

    Регистрация выполнения субъектами логического доступа ряда неуспешных последовательных попыток аутентификации




    РД.40

    Регистрация осуществления субъектами логического доступа идентификации и аутентификации




    РД.41

    Регистрация авторизации, завершения и (или) прерывания (приостановки) осуществления эксплуатационным персоналом и пользователями логического доступа, в том числе в АС




    РД.42

    Регистрация запуска программных сервисов, осуществляющих логический доступ




    РД.43

    Регистрация изменений аутентификационных данных, используемых для осуществления логического доступа




    РД.44

    Регистрация действий пользователей и эксплуатационного персонала, предусмотренных в случае компрометации их аутентификационных данных







    Итоговая оценка за подпроцесс ЕППЗИ2

    0.16

    Подпроцесс «Защита информации при осуществлении физического доступа»

    ФД.1

    Документарное определение правил предоставления физического доступа




    ФД.2

    Контроль перечня лиц, которым предоставлено право самостоятельного физического доступа в помещения




    ФД.3

    Контроль самостоятельного физического доступа в помещения для лиц, не являющихся работниками финансовой организации




    ФД.4

    Контроль самостоятельного физического доступа в помещения для технического (вспомогательного) персонала




    ФД.5

    Осуществление физического доступа лицами, которым не предоставлено право самостоятельного доступа в помещения, только под контролем работников финансовой организации, которым предоставлено такое право




    ФД.6

    Назначение для всех помещений распорядителя физического доступа




    ФД.7

    Предоставление права самостоятельного физического доступа в помещения по решению распорядителя физического доступа




    ФД.8

    Оборудование входных дверей помещения механическими замками, обеспечивающими надежное закрытие помещений в нерабочее время




    ФД.12

    Расположение серверного и сетевого оборудования в запираемых серверных стоечных шкафах




    ФД.13

    Контроль доступа к серверному и сетевому оборудованию, расположенному в запираемых серверных стоечных шкафах




    ФД.15

    Хранение архивов информации средств видеонаблюдения не менее 14 дней (в случае применения средств видеонаблюдения)




    ФД.17

    Регистрация доступа к общедоступным объектам доступа с использованием средств видеонаблюдения




    ФД.18

    Хранение архивов информации средств видеонаблюдения, регистрирующих доступ к общедоступным объектам доступа, не менее 14 дней




    ФД.19

    Контроль состояния общедоступных объектов доступа с целью выявлений несанкционированных изменений в их аппаратном обеспечении и (или) ПО




    ФД.20

    Приведение общедоступных объектов доступа, для которых были выявлены несанкционированные изменения в их аппаратном обеспечении и (или) ПО (до устранения указанных несанкционированных изменений), в состояние, при котором невозможно их использование для осуществления операции (транзакции), приводящей к финансовым последствиям для финансовой организации, клиентов и контрагентов







    Итоговая оценка за подпроцесс ЕППЗИ3

    0.00

    Подпроцесс «Идентификация и учет ресурсов и объектов доступа»

    ИУ.1

    Учет созданных, используемых и (или) эксплуатируемых ресурсов доступа




    ИУ.2

    Учет используемых и (или) эксплуатируемых объектов доступа




    ИУ.3

    Учет эксплуатируемых общедоступных объектов доступа (в том числе банкоматов, платежных терминалов)




    ИУ.4

    Контроль фактического состава созданных, используемых и (или) эксплуатируемых ресурсов доступа (баз данных, сетевых файловых ресурсов, виртуальных машин) и их корректного размещения в сегментах вычислительных сетей финансовой организации




    ИУ.5

    Контроль выполнения операций по созданию, удалению и резервному копированию ресурсов доступа (баз данных, сетевых файловых ресурсов, виртуальных машин)




    ИУ.6

    Контроль фактического состава эксплуатируемых объектов доступа и их корректного размещения в сегментах вычислительных сетей финансовой организации




    ИУ.7

    Регистрация событий защиты информации, связанных с созданием, копированием, в том числе резервным, и (или) удалением ресурсов доступа (баз данных, сетевых файловых ресурсов, виртуальных машин)







    Итоговая оценка за подпроцесс ЕППЗИ4

    0.00

    Итоговая оценка за процесс ЕПЗИ1



    1   ...   5   6   7   8   9   10   11   12   ...   18


    написать администратору сайта