Действующий
- защиту информации от раскрытия и модификации при ее обработке и хранении на мобильных (переносных) устройствах.
7.9.2 Базовый состав мер по защите информации от раскрытия и модификации при осуществлении удаленного доступа применительно к уровням защиты информации приведен в таблице 45.
Таблица 45 - Базовый состав мер по защите информации от раскрытия и модификации при осуществлении удаленного доступа
Условное обозначение и номер меры | Содержание мер системы защиты информации | Уровень защиты информации | ||
3 | 2 | 1 | ||
ЗУД.1 | Определение правил удаленного доступа и перечня ресурсов доступа, к которым предоставляется удаленный доступ | О | О | О |
ЗУД.2 | Аутентификация мобильных (переносных) устройств удаленного доступа | Т | Т | Т |
ЗУД.3 | Предоставление удаленного доступа только с использованием мобильных (переносных) устройств доступа, находящихся под контролем системы централизованного управления и мониторинга (системы Mobile Device Management, MDM) | Н | Т | Т |
ЗУД.4 | Реализация защиты информации от раскрытия и модификации, применение двухсторонней взаимной аутентификации участников информационного обмена при ее передаче при осуществлении удаленного логического доступа | Т | Т | Т |
7.9.3 Базовый состав мер по защите внутренних вычислительных сетей при осуществлении удаленного доступа применительно к уровням защиты информации приведен в таблице 46.
Таблица 46 - Базовый состав мер по защите внутренних вычислительных сетей при осуществлении удаленного доступа
Условное обозначение и номер меры | Содержание мер системы защиты информации | Уровень защиты информации | ||
3 | 2 | 1 | ||
ЗУД.5 | Идентификация, двухфакторная аутентификация и авторизация субъектов доступа после установления защищенного сетевого взаимодействия, выполнения аутентификации, предусмотренной мерами ЗУД.2 и ЗУД.4 таблицы 45 | Т | Т | Т |
ЗУД.6 | Запрет прямого сетевого взаимодействия мобильных (переносных) устройств доступа и внутренних сетей финансовой организации на уровне выше второго (канальный) по семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1 | Н | Т | Т |
ЗУД.7 | Реализация доступа к ресурсам сети Интернет только через информационную инфраструктуру финансовой организации после установления защищенного сетевого взаимодействия, выполнения аутентификации, предусмотренной мерами ЗУД.2 и ЗУД.4 таблицы 45 | Н | Т | Т |
ЗУД.8 | Контентный анализ информации, передаваемой мобильными (переносными) устройствами в сеть Интернет с использованием информационной инфраструктуры финансовой организации | Н | Т | Т |
ЗУД.9 | Реализация и контроль информационного взаимодействия внутренних вычислительных сетей финансовой организации и мобильных (переносных) устройств в соответствии с установленными правилами и протоколами сетевого взаимодействия | Т | Т | Т |
7.9.4 Базовый состав мер по защите информации от раскрытия и модификации при ее обработке и хранении на мобильных (переносных) устройствах применительно к уровням защиты информации приведен в таблице 47.
Таблица 47 - Базовый состав мер по защите информации от раскрытия и модификации при ее обработке и хранении на мобильных (переносных) устройствах
Условное обозначение и номер меры | Содержание мер системы защиты информации | Уровень защиты информации | ||
3 | 2 | 1 | ||
ЗУД.10 | Применение системы централизованного управления и мониторинга (MDM-системы), реализующей:- шифрование и возможность удаленного удаления информации, полученной в результате взаимодействия с информационными ресурсами финансовой организации;- аутентификацию пользователей на устройстве доступа;- блокировку устройства по истечении определенного промежутка времени неактивности пользователя, требующую выполнения повторной аутентификации пользователя на устройстве доступа;- управление обновлениями системного ПО устройств доступа;- управление параметрами настроек безопасности системного ПО устройств доступа;- управление составом и обновлениями прикладного ПО;- невозможность использования мобильного (переносного) устройства в режиме USB-накопителя, а также в режиме отладки;- управление ключевой информацией, используемой для организации защищенного сетевого взаимодействия;- возможность определения местонахождения устройства доступа;- регистрацию смены SIM-карты;- запрет переноса информации в облачные хранилища данных, расположенные в общедоступных сетях (например, iCIoud);- обеспечение возможности централизованного управления и мониторинга при смене SIM-карты | Н | Т | Т |
ЗУД.11 | Обеспечение защиты мобильных (переносных) устройств от воздействий вредоносного кода | Т | Т | Т |
ЗУД.12 | Стирание информации конфиденциального характера с мобильных (переносных) устройств средствами, обеспечивающими полную перезапись данных, при осуществлении вывода мобильных (переносных) устройств из эксплуатации, а также при необходимости их передачи в сторонние организации, между работниками и (или) структурными подразделениями финансовой организации | Т | Т | Т |
- на системных уровнях информационной инфраструктуры (определенных в 6.2 настоящего стандарта). Требования к содержанию базового состава мер системы организации и управления защитой информации, применяемых на системных уровнях, установлены в настоящем разделе;
- на этапах жизненного цикла АС и приложений, используемых для обработки, передачи и (или) хранения защищаемой информации в рамках выполнения и (или) обеспечения выполнения бизнес-процессов или технологических процессов финансовой организации. Требования к содержанию базового состава мер системы организации и управления защитой информации, применяемых на этапах жизненного цикла АС и приложений, установлены в разделе 9 настоящего стандарта.
8.1.3 Меры системы организации и управления защитой информации на системных уровнях применяются для каждого отдельного процесса (направления) защиты информации из числа мер, определенных в разделе 7 настоящего стандарта.
8.1.4 Меры системы организации и управления защитой информации на системных уровнях применяются в рамках следующих направлений защиты информации:
8.2.1 В рамках направления "Планирование" финансовая организация обеспечивает определение (пересмотр):
- состава применяемых (а также не применяемых) мер защиты информации из числа мер, определенных в разделах 7, 8 и 9 настоящего стандарта;
- состава и содержания мер защиты информации, являющихся дополнительными к базовому составу мер, определенных в разделах 7, 8 и 9 настоящего стандарта, определяемых на основе актуальных угроз защиты информации, требований к защите информации, установленных нормативными правовыми актами в области обеспечения безопасности и защиты информации;
Реализация деятельности в рамках направления "Планирование" осуществляется на основе политики финансовой организации в отношении целевых показателей величины допустимого остаточного операционного риска (риск-аппетита), связанного с обеспечением безопасности информации, а также при необходимости на основе результатов деятельности в рамках направления "Совершенствование".
Примечание - Рекомендации по документированию деятельности в области обеспечения информационной безопасности приведены в [17].
Условное обозначение и номер меры | Содержание мер системы защиты информации | Уровень защиты информации | ||
3 | 2 | 1 | ||
ПЗИ.1 | Документарное определение области применения процесса системы защиты информации* для уровней информационной инфраструктуры, определенных в 6.2 настоящего стандарта | О | О | О |
ПЗИ.2 | Документарное определение состава (с указанием соответствия настоящему стандарту) и содержания организационных мер защиты информации, выбранных финансовой организацией и реализуемых в рамках процесса системы защиты информации | О | О | О |
ПЗИ.3 | Документарное определение порядка применения организационных мер защиты информации, реализуемых в рамках процесса системы защиты информации | О | О | О |
ПЗИ.4 | Документарное определение состава (с указанием соответствия настоящему стандарту) и содержания технических мер защиты информации, выбранных финансовой организацией и реализуемых в рамках процесса системы защиты информации | О | О | О |
ПЗИ.5 | Документарное определение порядка применения технических мер защиты информации, реализуемых в рамках процесса системы защиты информации, включающего:- правила размещения технических мер защиты информации в информационной инфраструктуре;- параметры настроек технических мер защиты информации и информационной инфраструктуры, предназначенных для размещения технических мер защиты информации**;- руководства по применению технических мер защиты информации (включающие руководства по эксплуатации, контролю эксплуатации и использованию по назначению технических мер защиты информации);- состав ролей и права субъектов доступа, необходимых для обеспечения применения технических мер защиты информации (включающего эксплуатацию, контроль эксплуатации и использование по назначению мер защиты информации) | О | О | О |
| * Область применения процесса системы защиты информации определяется в соответствии с положениями нормативных актов Банка России.** Параметры настроек компонентов информационной инфраструктуры, предназначенных для размещения технических мер защиты информации, определяются в случае необходимости. | ||||
- применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия [в том числе программных (программно-аппаратных) средств, в которых они реализованы, имеющих необходимые функции безопасности], в случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации;
- обучение, практическую подготовку (переподготовку) работников финансовой организации, ответственных за применение мер защиты информации;
- повышение осведомленности (инструктаж) работников финансовой организации в области защиты информации.
Примечание - Рекомендации по определению потребностей организации банковской системы Российской Федерации в ресурсах, необходимых для реализации процессов информационной безопасности, и по проведению контроля эффективности использования этих ресурсов приведены в [6].
Условное обозначение и номер меры | Содержание мер системы защиты информации | Уровень защиты информации | ||
3 | 2 | 1 | ||
РЗИ.1 | Реализация учета объектов и ресурсов доступа, входящих в область применения процесса системы защиты информации, для уровней информационной инфраструктуры, определенных в 6.2 настоящего стандарта, в том числе объектов доступа, расположенных в публичных (общедоступных) местах (в том числе банкоматах, платежных терминалах) | О | О | Т |
РЗИ.2 | Размещение и настройка (конфигурирование) технических мер защиты информации в информационной инфраструктуре финансовой организации | О | О | Т |
РЗИ.3 | Контроль (тестирование) полноты реализации технических мер защиты информации | О | О | О |
РЗИ.4 | Назначение работникам финансовой организации ролей, связанных с применением мер защиты информации, и установление обязанности и ответственности за их выполнение | О | О | О |
РЗИ.5 | Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной инфраструктуры | О | О | О |
РЗИ.6 | Реализация эксплуатации, использования по назначению технических мер защиты информации | О | О | О |
РЗИ.7 | Реализация применения организационных мер защиты информации | О | О | О |
РЗИ.8 | Реализация централизованного управления техническими мерами защиты информации* | Н | Н | Т |
РЗИ.9 | Обеспечение доступности технических мер защиты информации:- применение отказоустойчивых технических решений;- резервирование информационной инфраструктуры, необходимой для функционирования технических мер защиты информации;- осуществление контроля безотказного функционирования технических мер защиты информации;- принятие регламентированных мер по восстановлению отказавших технических мер защиты информации информационной инфраструктуры, необходимых для их функционирования | Н | Н | Т |
РЗИ.10 | Обеспечение возможности сопровождения технических мер защиты информации в течение всего срока их использования | Н | О | О |
РЗИ.11 | Применение сертифицированных по требованиям безопасности информации средств защиты информации не ниже 4 класса** | Н | Н | Т |
РЗИ.12 | Применение сертифицированных по требованиям безопасности информации средств защиты информации не ниже 5 класса** | Н | Т | Н |
РЗИ.13 | Применение сертифицированных по требованиям безопасности информации средств защиты информации не ниже 6 класса** | Т | Н | Н |
РЗИ.14 | Применение СКЗИ, имеющих класс не ниже КС2** | Н | Н | Т |
РЗИ.15 | Обучение, практическая подготовка (переподготовка) работников финансовой организации, ответственных за применение мер защиты информации в рамках процесса защиты информации | О | О | О |
РЗИ.16 | Повышение осведомленности (инструктаж) работников финансовой организации в области реализации процесса защиты информации, применения организационных мер защиты информации, использования по назначению технических мер защиты информации | О | О | О |
| * Централизованное управление реализуется для технических мер защиты информации, множественно размещаемых на АРМ пользователей и эксплуатационного персонала.** В случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации. | ||||