Пример_Запрос 1 процесс. Ответы на вопросы в максимально развернутом виде

Название	Ответы на вопросы в максимально развернутом виде
Анкор	Пример_Запрос 1 процесс
Дата	16.05.2022
Размер	55.82 Kb.
Формат файла
Имя файла	Пример_Запрос 1 процесс.docx
Тип	Документы #531471

ОО «РТМ ТЕХНОЛОГИИ», 111398, город Москва, улица Плющева, дом 17, корпус 2, пом.I, ком.1, ОГРН 1167746366875, ИНН/КПП 7720337868/772001001, +7 (495) 309-31-25, http://www.rtmtech.ru/, info@rtmtech.ru

____________________________________________________________________________________

Запрос на получение свидетельств в рамках проведения оценки полноты выбора и реализации организационных и технических мер защиты информации ГОСТ 57580.1-2017
В рамках проведения GAP-анализа на соответствие ГОСТ Р 57580.1-2017 в соответствии с Положением Банка России № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» и Положением Банка России
№ 672-П «О требованиях к защите информации в платежной системе Банка России» необходимо предоставить:

электронные свидетельства (например, скриншоты, фотографии, электронные таблицы, логи и т.д.);
ответы на вопросы в максимально развернутом виде.

Перечень вопросов приведен в Таблице.

Ответ на запрос отправляется по электронной почте ответным письмом в зашифрованным архиве. Пароль сообщается по альтернативному каналу связи (WhatsApp, Viber, Telegram, SMS и другие средства передачи данных по договоренности с исполнителем).

Ответы рекомендуется приводить в полном объеме, максимально развернутыми. Неполный ответ на вопрос может привести к ложному восприятию, которое влечет за собой некорректное проведение оценки, с последующими возникающими разногласиями. В качестве ответа на вопрос, приводимый в Таблице, приветствуется подкрепление ответа документом, скриншотом, фотографией или иным файлом.

Для удобства, допускается заполнение таблицы, приведенной в Таблице, в случаях, где это предоставляется возможным.

№ П/п	Запрашиваемые свидетельства выполнения требований	Ответ заказчика
	Описать, каким образом и какими средствами осуществляется процесс управления доступом в каждой из систем из области оценки
	Скриншоты использования персонифицированных активных учетных записей во всех системах из области оценки
	Журналы входов администраторов и пользователей в системы из области оценки
	Скриншоты, в которых отражено, что пользователь не может самостоятельно повысить свои привилегии
	Скриншоты блокированных учетных записей, для которых срок предоставления прав логического доступа истек
	Скриншот перечня разрешенных прав доступа для конкретной сетевой папки/базы данных/виртуальной машины (какие группы могут получить доступ)
	Скриншоты прав доступа пользователя и администратора для каждой из систем из области оценки (достаточно скриншотов прав одного пользователя и одного администратора)
	Журналы логирования действий пользователей и администраторов при работе в каждой из систем, входящих в область оценки
	Журналы регистрации действий по управлению учетными записями и правами доступа (создание/удаление учетных записей, модификация прав доступа)
	Применяется ли двухфакторная аутентификация для администраторов? Каким образом реализуется?
	Журналы, в которых отражены факты регистрации (логирования) действий по управлению параметрами средств защиты информации и параметрами ИС, касающимися защиты информации
	Журналы, в которых отражены факты регистрации (логирования) действий по управлению криптографическими ключами (с определением лица, которое произвело эти действия)
	Каким образом реализуется аутентификация рабочих станций администраторов в Банке?
	Настройки парольных политик каждой из систем из области оценки (какие символы используются при создании пароля, реализована ли автоматическая смена паролей, длина паролей, блокировка учетных записей при неправильных вводах паролей)
	Может ли с одной учетной записи осуществляться параллельные сессии на разных рабочих станциях?
	Настройки, отражающие блокировку и прерывание сессий логического доступа (время бездействия, параметры блокировки экрана, повторная аутентификация при возобновлении работы)
	Скриншоты, в которых отражено разделение ресурсов по возможным операциям с ними (чтение, копирование, запись) для разных ролей доступа
	Какой метод разграничения доступа применяется при реализации управления доступом в Банке (дискреционный, мандатный, ролевой)?
	Журналы и (или) логи, содержащие события, связанные с аутентификацией (выполнение ряда неуспешных попыток аутентификации, выполнение успешного входа в ИС, прерывание либо завершение сессии доступа в ИС)
	Скриншот с системы видеонаблюдения, на котором отражена запись со сроком хранения не менее 14 дней (видеонаблюдения из помещений Банка, а также камеры видеонаблюдения за банкоматами)
	Каким образом реализуется учет всех объектов (сетевое, серверное оборудование, компьютеры и пр.) и ресурсов доступа (БД, ПО, виртуальные машины и пр.)?
	Фото серверного и сетевого оборудования в запираемых стоечных шкафах
	Имеется ли СКУД? Каким образом контролируется физический доступ в защищаемые помещения Банка? Кто является распорядителями физического доступа в помещения Банка?
	Журналы аутентификации программных сервисов, журналы регистрации запуска программных сервисов
	Журналы установки/обновления/ удаления ПО средств управления и разграничения доступом
	Журналы отказов в работе технических средств, с помощью которых реализовано управление доступом
	Заполненные заявки на предоставление доступа к ресурсам
	Фото расположения устройств вывода информации (принтер, мониторы), исключающим несанкционированный просмотр информации
	Скриншоты сокрытия символов при вводе пароля в ОС и ИС из области оценки
	Предоставить журнал выдачи технических устройств аутентификации (ПАК Соболь, иные технические средства аутентификации)
	Как реализовано хранение копий аутентификационных данных администраторов (например, в конвертах в сейфе)?
	Журналы регистрации фактов смены паролей работников
	Назначены ли для ресурсов доступа в платежном сегменте распорядители логического доступа? Предоставить свидетельства, фиксирующие назначение владельцев ресурсов.
	Каким образом осуществляется хранение эталонной информации о предоставленных работникам правах доступа? Согласно требованиям ГОСТ необходимо осуществлять хранение эталонных копий, содержащих информацию о предоставленных правах доступа. Реализовано ли данное требование? Если да, то в каком виде?
	Были ли случаи совершенствования процесса управления доступом в Банке (например, закупка новых средств разграничения доступом, пересмотр применяемых организационных и технических мер в процессе защиты информации)? Если да, то необходимо предоставить фиксированные решения о совершенствовании процесса защиты информации (например, протокол заседания, акт совершенствования и пр.).
	Производятся ли мероприятия по контролю при управлении доступом (например, контроль выполнения требований эксплуатационной документации на используемые средства разграничения доступом; контроль параметров настроек средств защиты, контроль корректного размещения средств управления и разграничения доступом в инфраструктуре Банка, контроль реализации применяемых организационных мер при управлении доступом, контроль безотказного функционирования технических средств)? Если да, то предоставить результаты проведения такого контроля.
	Проводятся ли мероприятия по обучению и проверке знаний сотрудников Банка в рамках процесса управления доступом? Если да, то предоставить результаты проведения обучения и проверки знаний сотрудников.
	Проводятся ли инструктажи/обучения для ответственных за функционирование и эксплуатацию средств разграничения и управления доступом? Если да, то предоставить результаты обучения/подготовки/инструктажа.
	Назначены ли ответственные лица за обеспечение функционирования и эксплуатации и внесения изменений в параметры настроек средств разграничения и управления доступом? Каким образом зафиксирована ответственность (например, назначены приказом)?