Главная страница
Навигация по странице:

  • Cтр. 18 из 32

  • Cтр. 19 из 32

  • Cтр. 20 из 32

  • Cтр. 21 из 32

  • Cтр. 22 из 32

  • Сведения о нормативном документе


    Скачать 0.61 Mb.
    НазваниеСведения о нормативном документе
    Дата21.05.2022
    Размер0.61 Mb.
    Формат файлаpdf
    Имя файлаupravlenie_obespecheniem_ib.pdf
    ТипСведения
    #542192
    страница3 из 5
    1   2   3   4   5
    Cтр. 17 из 32
    6.2.8 У
    ПРАВЛЕНИЕ ДОСТУПОМ И ПАРОЛЬНАЯ ЗАЩИТА
    С целью обеспечения предоставления доступа к информационным системам Компании только тем лицам, которым он действительно необходим, и только в том объеме, который требуется для выполнения их должностных обязанностей, должны быть регламентированы и реализованы соответствующие процедуры управления доступом.
    6.2.8.1.
    Должны быть определены роли доступа работников для каждой информационной системы.
    Доступ должен предоставляться на основании ролей.
    6.2.8.2.
    Должно осуществляться предоставление доступа к информационным системам исключительно по согласованным заявкам. При этом согласование и утверждение таких заявок должно осуществляться способом, установленным внутренними нормативными документами Компании.
    6.2.8.3.
    Заявки на предоставление доступа должны соответствовать установленным в Компании требованиям. Как минимум, заявки на доступ должны содержать следующую информацию:

    Лицо, которому предоставляется доступ (ФИО, должность, подразделение).

    Наименование информационной системы/информационного ресурса к которому запрашивается доступ.

    Перечень запрашиваемых ролей доступа (а в случае, если роли не определены - права доступа).

    Дата предоставления доступа и обоснование предоставления доступа.

    Срок, на который предоставляется доступ.
    6.2.8.4.
    Должен быть документирован перечень информационных ресурсов, к которым предоставляются права доступа «по умолчанию», а также сами права доступа «по умолчанию». Такие права доступа должны быть минимальными.
    6.2.8.5.
    Должны предоставляться права доступа, которые минимально необходимы для выполнения пользователями должностных обязанностей.
    6.2.8.6.
    Должны использоваться персонифицированные доменные и локальные учетные записи пользователей и администраторов. Запрещено использование разделяемых учетных записей.
    6.2.8.7.
    Должны быть удалены или заблокированы локальные учетные записи, устанавливаемые производителем «по умолчанию».
    6.2.8.8.
    Должен осуществляться учет сервисных учетных записей. Должна быть обеспечена невозможность входа пользователя в систему под сервисной учетной записью.
    6.2.8.9.
    Должно осуществляться своевременное лишение прав доступа увольняемых сотрудников к информационным системам и сервисам Компании. Лишение прав доступа осуществляется работниками, отвечающими за управление доступом к информационным системам, на основании уведомления от подразделения, ответственного за управление персоналом. Такое уведомление должно подаваться своевременно, до момента увольнения работника, в форме и способом, установленными внутренними нормативными документами Компании.
    6.2.8.10. Должна проводиться периодическая выверка (актуализация) прав доступа пользователей.
    Актуализация/сверка прав доступа пользователей должна проводиться с заданной периодичностью (но не реже одного раза в 6 месяцев), и должна позволять установить следующее:
    • Пользователю предоставлены именно те права, которые он запрашивал.
    • Заблокированы учетные записи уволенных и находящихся в длительных отпусках работников.
    Все нарушения, выявленные по результатам выверки прав доступа, должны быть устранены.
    6.2.8.11. Должен предоставляться доступ к информационным системам только после успешного прохождения процедуры аутентификации. В качестве аутентифицирующего фактора могут быть использованы:
    • Сертификат.
    • Пароль.
    • Одноразовый ключ.
    6.2.8.12. Должно быть обеспечено соответствие паролей следующим минимальным требованиям :

    Cтр. 18 из 32
    • Длина пароля должна составлять не менее 8 символов для пользовательских учетных записей и
    14 символов для учетных записей администраторов.
    • Пароли должны включать в себя как минимум три их четырех следующих наборов символов: - строчные буквы, заглавные буквы, цифры, специальные символы.
    • Срок действия пароля должен составлять не более 60 дней для пользовательских учетных записей и 30 дней для административных учетных записей.
    • Минимальный срок действия пароля должен составлять не менее 1 дня.
    • Максимум, после 6 неудачных попыток ввода пароля должна осуществляться блокировка учетной записи.
    • Разблокирование учетных записей должно осуществляться, как минимум, после перерыва в 30 минут или вручную администратором.
    • Новый пароль пользователя должен отличаться, как минимум, от 4 предыдущих.
    6.2.8.13. Должны быть настроены соответствующие парольные политики для контроля выполнения требований к паролям, регламентированным внутренними документами в области ИБ.
    6.2.8.14. Должно быть обеспечено соответствие паролей сервисных учетных записей следующим требованиям:
    • Длина пароля должна составлять не 14 символов.
    • Пароли должны включать в себя как минимум три из четырех следующих наборов символов: - строчные буквы, заглавные буквы, цифры, специальные символы.
    • Срок действия пароля должен составлять не более 6 месяцев.
    • Новый пароль должен отличаться, как минимум, от 4 предыдущих.
    6.2.8.15. Должно осуществляться блокирование пользовательской сессии после определенного периода неактивности. Период неактивности, после которого осуществляется блокирование пользовательского сеанса, настраивается в соответствии установленными в Компании требованиями и должен составлять не более 15 минут.
    6.2.8.16. Должно выполняться хранение паролей в соответствии с установленными в Компании требованиями, в том числе:
    • Не должно выполняться хранение паролей пользователями и администраторами в открытом виде. Допускается использование специализированного программного обеспечения для хранения паролей в зашифрованном виде, такое программное обеспечение должно быть одобрено Д. Кроме того пароли пользователей и администраторов могут хранится в запечатанных конвертах в сейфе, после вскрытия конвертов пароли подлежат смене.
    • Хранение паролей в информационных системах должно осуществляться в виде, не позволяющем их восстановить.
    • Должно осуществляться хранение паролей от сервисных учетных записей в реестре, хранящемся в сейфе Директора по инфраструктуре.
    6.2.8.17. Должен быть установлен и реализован запрет передачи пользователями и администраторами средств аутентификации третьим лицам (передача паролей, сертификатов, генераторов одноразовых паролей и т.д.).
    6.2.8.18. Должна быть реализована процедура восстановления паролей, включая процедуры запроса смены пароля и предоставления новых паролей пользователям, в соответствии с установленными в
    Компании требованиями. Восстановление паролей должно осуществляться в соответствии со следующими принципами:
    • Должна проверяться принадлежность учетной записи лицу, запрашивающему смену пароля.
    • Новый пароль должен быть сообщен пользователю лично.
    6.2.8.19. Должна осуществляться обязательная смена пароля при первом входе в систему, если аутентификация пользователя в системе осуществляется по паролю, и пароль нового пользователя (или пароль после сброса) известен администратору.

    Cтр. 19 из 32
    6.2.8.20. Должны быть регламентированы требования к процедурам аутентификации при удаленном доступе. Для удаленного доступа к локальной вычислительной сети должна применяться двухфакторная аутентификация.
    6.2.9 Б
    ЕЗОПАСНОСТЬ УДАЛЕННОГО ДОСТУПА
    6.2.9.1.
    Должно осуществляться управления удаленным доступом к ресурсам корпоративной сети в соответствии с установленными в Компании требованиями.
    6.2.9.2.
    Должно быть реализовано предоставление удаленного доступа к ресурсам корпоративной сети по заявкам, согласованным и утвержденным в соответствии с установленной в Компании формой.
    Заявки на предоставление удаленного доступа должны включать в себя, в том числе:
    • Лицо, которому предоставляется доступ (ФИО, должность, подразделение).
    • Цель предоставления удаленного доступа.
    • Наименование информационной системы/информационного ресурса к которому запрашивается удаленный доступ.
    • Дата предоставления доступа и обоснование предоставления доступа.
    • Срок на который предоставляется доступ.
    6.2.9.3.
    Должно осуществляться предоставление удаленного доступа минимальному кругу лиц, которым такой доступ необходим для выполнения должностных обязанностей. В соответствии с установленными в Компании требованиями, удаленный доступ для администрирования информационных систем, средств защиты информации и сетевого оборудования должен предоставляться только выделенным работникам Компании и не должен предоставляется третьим лицам, не входящим в число работников Компании.
    6.2.9.4.
    Должно применяться шифрование информации, передаваемой по общедоступным сетям при осуществлении удаленного доступа к ресурсам корпоративной сети Компании.
    6.2.9.5.
    Должен быть обеспечен разрыв сессии удаленного доступа пользователя после установленного в Компании периода неактивности. Время неактивности до разрыва пользовательской сессии должно составлять не более 15 минут.
    6.2.9.6.
    Должно быть реализовано осуществление доступа к ресурсам корпоративной сети Компании в соответствии со следующими требованиями:
    • Для доступа к корпоративным ресурсам из беспроводных сетей, должна выполняться предварительная идентификация и аутентификация пользователей с использованием протокола
    802.1x.
    • Доступ из беспроводных сетей пользователей, не прошедших идентификацию и аутентификацию, должен предоставляться только в гостевые сегменты и/или сеть Интернет.
    6.2.10
    К
    РИПТОГРАФИЧЕСКАЯ
    ЗАЩИТА
    ИНФОРМАЦИИ
    И
    УПРАВЛЕНИЕ
    КРИПТОГРАФИЧЕСКИМИ КЛЮЧАМИ
    С целью защиты информации при хранении или при передаче по сетям связи, в Компании могут применяться средства криптографической защиты. Требования по использованию средств криптографической защиты должны быть регламентированы внутренними нормативными документами.
    6.2.10.1. Должны быть документально определены стойкие алгоритмы шифрования, разрешенные для использования в Компании. В случае использования криптографических средств защиты информации, должны применяться алгоритмы шифрования, включенные в этот перечень. В Компании допускается применение следующих Российских и международных алгоритмов криптографической защиты:
    • ГОСТ Р 34.10-94;
    • ГОСТ Р 34.10-2001;
    • ГОСТ Р 34-11-94;
    • ГОСТ 28147-89;

    Cтр. 20 из 32
    • AES 256;
    • Blowfish;
    • Triple DES;
    • SHA/HASH.
    6.2.10.2. Должна быть определена необходимость использования средств криптографической защиты информации (включая необходимость использования сертифицированных ФСБ криптосредств) для каждого канала передачи информации, выходящего за пределы внутренней корпоративной сети
    Компании. Должны применяться соответствующие средства криптографической защиты информации.
    6.2.10.3. В Компании должен быть установлен порядок применения сертифицированных ФСБ средств криптографической защиты информации. Выбор таких СКЗИ должен осуществляться на основании модели нарушителя безопасности информации и модели угроз.
    6.2.10.4. Должно осуществляться применение сертифицированных ФСБ средств криптографической защиты информации в соответствии с лицензионными требованиями, а также в соответствии с технической документацией на СКЗИ. В том числе должна быть обеспечена реализация следующих требований:
    • Должен быть ограничен доступ в помещения, где расположены сертифицированные СКЗИ и/или их компоненты.
    • Должен быть выполнен контроль корректности встраивания СКЗИ, в случае, если этого требует режим эксплуатации.
    6.2.10.5. Должен осуществляться учет СКЗИ, криптографических ключей и ключевых носителей информации в соответствии с установленными в Компании требованиями.
    6.2.10.6. Должна осуществляться генерация криптографических ключей сотрудником, специально назначенным на эту роль.
    6.2.10.7. Должен быть установлен срок действия криптографических ключей, такой срок не должен превышать 12 месяцев. По истечению срока действия или после компрометации криптографические ключи должны быть отозваны.
    6.2.10.8. Должны быть регламентированы и реализованы меры по защите ключей шифрования. Такие меры включают в себя, в том числе следующие:
    • Доступ к ключам шифрования должен быть ограничен минимально необходимым перечнем лиц.
    • Ключи шифрования должны храниться в минимально необходимом наборе мест и форм хранения.
    • Должны регистрироваться события доступа к ключам шифрования.
    • Рекомендуется проводить периодический контроль целостности хранимых ключей шифрования.
    6.2.10.9. Должно осуществляться хранение носителей криптографических ключей способом, исключающим возможность доступа посторонних лиц к этим ключам и/или их носителям.
    6.2.11
    Р
    ЕЗЕРВИРОВАНИЕ И РЕЗЕРВНОЕ КОПИРОВАНИЕ
    6.2.11.1. На основании результатов оценки рисков должен определяться перечень информационных активов, подлежащих резервному копированию, периодичность резервного копирования для каждого ресурса и срок хранения резервных копий.
    6.2.11.2. Должно осуществляться при помощи специализированных систем резервное копирование информации. При этом, параметры резервного копирования, настроенные в этих системах, должны соответствовать требованиям, определенным в соответствии с пунктом 6.2.11.1.
    6.2.11.3. Должен быть ограничен логический доступ к резервным копиям, а также физический доступ к их носителям.
    6.2.11.4. Должно осуществляться регулярное тестирования работоспособности резервных копий, в соответствии с установленными в Компании требованиями. Такое тестирование должно проводиться по крайней мере раз в квартал. Результаты периодической проверки работоспособности резервных копий должны фиксироваться документально.

    Cтр. 21 из 32
    6.2.11.5. Должны осуществляться маркирование и учет носителей резервных копий в соответствии с установленными в Компании требованиями. Применяемый в Компании способ маркирования и учета носителей резервных копий должен позволять определить какие именно данные и за какие периоды содержатся на носителях резервных копий.
    6.2.11.6. Рекомендуется реализовать шифрование резервных копий, при этом должно быть обеспечено выполнение требований к шифрованию, установленных разделом 6.2.10. В случае принятия решения по шифрованию резервных копий, следует регламентировать соответствующие требования во внутренних нормативных документах Компании.
    6.2.11.7. Рекомендуется хранить дубликаты резервных копий в территориально удаленном хранилище для обеспечения возможности восстановления информационных систем при природных катаклизмах, стихийных бедствиях или катастрофах, результатом которых может стать недоступность хранилища резервных копий или разрушение/повреждение носителей резервных копий. В случае принятия соответствующего решения, следует регламентировать такие требования во внутренних нормативных документах Компании.
    6.2.12
    У
    ПРАВЛЕНИЕ ТЕХНИЧЕСКИМИ УЯЗВИМОСТЯМИ И БЕЗОПАСНАЯ КОНФИГУРАЦИЯ
    С целью поддержания должного уровня безопасности ресурсов корпоративной сети должно осуществляться выявление уязвимостей в программном обеспечении и настройках системных компонентов информационных систем, СЗИ и сетевых устройств.
    6.2.12.1. Должна отслеживаться информации об уязвимостях ресурсов корпоративной сети в соответствии с установленными в Компании требованиями. В число источников информации об уязвимостях ресурсов корпоративной сети должны входить:
    • Бюллетени вендоров, новостные рассылки, а также специализированные сайты, блоги и форумы.
    • Внутреннее и внешнее сканирование уязвимостей ресурсов корпоративной сети.
    6.2.12.2. Должно осуществляться сканирование ресурсов корпоративной сети в соответствии с документированными в Компании требованиями и с заданной периодичностью. Периодичность сканирования должна составлять не более 1 раза в квартал. Результаты сканирования должны быть документированы.
    6.2.12.3. Должна осуществляться оценка критичности выявленных уязвимостей в соответствии с регламентированными в Компании критериями.
    6.2.12.4. Должна осуществляться регистрация выявленных уязвимостей, уровень которых соответствует принятому в Компании уровню критичности, начиная с которого требуется их обработка
    (в том числе регистрация). Должна осуществляться регистрация таких уязвимостей.
    6.2.12.5. Должно осуществляться устранение выявленных уязвимостей
    ИБ в срок, регламентированный внутренними нормативными документами Компании, и в зависимости от их уровня критичности.
    6.2.12.6. Должно осуществляться планирование сроков выполнения работ по устранению уязвимостей, фиксация результатов устранения уязвимостей, а также контроль выполнения работ по устранению уязвимостей.
    6.2.12.7. Должны быть разработаны и утверждены стандарты безопасного конфигурирования для ОС,
    СУБД и сетевого оборудования, СЗИ и прикладного ПО. Стандарты должны включать в себя:
    • Требования к идентификации/аутентификации и настройке парольной политики.
    • Требования к настройкам регистрации событий ИБ.
    • Требования к настройке безопасных сервисов.
    • Требования к настройке производительности.
    • И т.д.
    Необходимость разработки стандартов конфигурирования должна быть установлена внутренними нормативными документами Компании.

    Cтр. 22 из 32
    6.2.12.8. Должна осуществляться настройка ОС, ППО, СУБД, СЗИ и сетевого оборудования в соответствии со стандартами безопасного конфигурирования.
    6.2.13
    З
    АЩИТА ОТ УТЕЧЕК КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
    С целью снижения вероятности утечки конфиденциальной информации (в том числе сведений, составляющих коммерческую тайну, персональные данные и инсайдерскую информацию) в Компании должны применяться специализированные защитные средства. Требования по их применению следует установить внутренними нормативными документами Компании.
    Должны применяться системы защиты от утечек данных.
    6.2.13.1. Должны подлежать контролю при помощи систем предотвращения утечек данных, в соответствии с установленными в Компании требованиями:
    • Порты ввода/вывода.
    • Электронная почта.
    • Буфер обмена.
    • Передача данных с помощью веб-интерфейса.
    6.2.13.2. Должно быть выполнено конфигурирование системы DLP в соответствии с требованиями, установленными внутренними нормативными документами к ее действиям при обнаружении фактов передачи конфиденциальной информации по контролируемым каналам. Как минимум, система DLP должна:
    • Осуществлять регистрацию таких событий.
    • Уведомлять работников подразделения информационной безопасности о срабатывании настроенных в ней правил.
    6.2.13.3. Должно осуществляться реагирование работников подразделения информационной безопасности на срабатывания системы DLP, установленным в Компании образом. В частности, должна осуществляться проверка фактов передачи конфиденциальной информации, зарегистрированных DLP.
    6.2.14
    З
    АЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
    Обработка и защита персональных данных в Компании должна осуществляться в соответствии с требованиями и принципами, установленными законодательством Российской Федерации. При обработке и защите ПДн необходимо выполнять требования настоящего стандарта, но не ограничиваться ими.
    6.2.14.1. Должны быть разработаны внутренние нормативные документы, регламентирующие обработку и защиту ПДн. Должен быть предоставлен неограниченный доступ субъектам ПДн к документу, регламентирующему политику по обработке ПДн. При необходимости, такой документ следует опубликовать на корпоративном сайте Компании.
    6.2.14.2. Должен быть регламентирован и доведен до субъектов ПДн порядок реализации прав, предоставленных им ФЗ №152 «О персональных данных».
    6.2.14.3. Должны быть документированы цели обработки ПДн, а также состав и сроки обработки ПДн по отношению к каждой цели. Обработка персональных данных должна осуществляться в соответствии с документированными целями и сроками.
    6.2.14.4. Должна быть определена необходимость уведомления Уполномоченного органа по защите прав субъектов ПДн о начале обработке ПДн. В случае такой необходимости соответствующее уведомление должно быть подано.
    6.2.14.5. Должны быть установлены внутренними документами Компании требования к хранению
    ПДн, в том числе:
    • Базы данных, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации должны находиться на территории РФ.
    • Должен проводиться учет мест хранения ПДн.

    1   2   3   4   5


    написать администратору сайта