ФД 1-16
Базовый состав мер по организации и контролю физического доступа в помещения применительно к уровням защиты информации
ФД.1 (Н-О-О)
Документарное определение правил предоставления физического доступа.
Уровень защиты информации 3-Н, 2-О, 1-О.
Пояснение
Реализация - О
Реализуется путем регламентации правил предоставления физического доступа.
Проверочные процедуры (свидетельства)
ВНД: Инструкция по организации пропускного и внутриобъектового режима (Положение о КЗ).
Фото: Пост контрольно-пропускного пункта.
Типичные недостатки
Не выявлены.
Компенсационные меры
Не выявлены.
Выявленные коллизии
Не выявлены.
ФД.2 (О-О-Т)
Контроль перечня лиц, которым предоставлено право самостоятельного физического доступа в помещения.
Уровень защиты информации 3-О, 2-О, 1-Т.
Реализация - О
Реализуется путем утверждения перечня лиц, имеющих право самостоятельного физического доступа в помещения, и дальнейшего контроля данного перечня.
Реализация - Т
Контроль может осуществляться вручную или же с использованием дополнительного ПО, в котором будет отображаться информация о ходе процесса сверки и его результаты (СКУД, система видеонаблюдения).
Проверочные процедуры (свидетельства)
ВНД: Инструкция по организации пропускного и внутриобъектового режима (Положение о КЗ); Перечень лиц, которым предоставлено право самостоятельного физического доступа в помещения КЗ.
Фото/Скриншоты: Перечень лиц, которым предоставлено право самостоятельного физического доступа в помещения КЗ (СКУД). Результаты проведения контроля перечня лиц, которым предоставлено право самостоятельного физического доступа в помещения КЗ (например, скриншот выполненной задачи в ПО Jira).
Типичные недостатки
Не выявлены.
Компенсационные меры
Не выявлены.
Выявленные коллизии
Не выявлены.
ФД.3 (Н-О-Т)
Контроль самостоятельного физического доступа в помещения для лиц, не являющихся работниками финансовой организации.
Уровень защиты информации 3-Н, 2-О, 1-Т.
Реализация - О
Реализуется путем регламентации правил предоставления физического доступа для лиц, не являющихся работниками финансовой организации. Контроль может осуществляться ответственным вахтером-администратором и/или ответственным сопровождающим, с внесением информации о госте в Журнал учета посетителей.
Реализация - Т
В случае использования гостевых (временных) пропусков контроль может осуществляться с помощью СКУД.
Проверочные процедуры (свидетельства)
ВНД: Инструкция по организации пропускного и внутриобъектового режима (Положение о КЗ); Перечень лиц, которым предоставлено право самостоятельного физического доступа в помещения КЗ; Журнал учета посетителей.
Фото/Скриншоты: Перечень лиц, не являющихся работниками финансовой организации, которым предоставлено самостоятельного физического доступа в помещения КЗ (СКУД).
Типичные недостатки
Не выявлены.
Компенсационные меры
Не выявлены.
Выявленные коллизии
Не выявлены.
ФД.4 (Н-О-Т)
Контроль самостоятельного физического доступа в помещения для технического (вспомогательного) персонала.
Уровень защиты информации 3-Н, 2-О, 1-Т.
Реализация - О
Реализуется путем регламентации правил самостоятельного физического доступа в помещения для технического (вспомогательного) персонала. Контроль может осуществляться в ручную ответственным вахтером-администратором при выдаче ключей от помещений, с занесением информации в соответствующий Журнал учета (например, Журнал учета выдачи ключей от серверной).
Реализация - Т
В случае использования техническим (вспомогательным) персоналом карт-доступа контроль может осуществляться с помощью СКУД,
Проверочные процедуры (свидетельства)
ВНД: Инструкция по организации пропускного и внутриобъектового режима (Положение о КЗ); Перечень лиц, которым предоставлено право самостоятельного физического доступа в помещения КЗ.
Фото/Скриншоты: Перечень карт-доступа технического (вспомогательного) персонала в СКУД.
Типичные недостатки
Не выявлены.
Компенсационные меры
Не выявлены.
Выявленные коллизии
Не выявлены.
ФД.5 (Н-О-О)
Осуществление физического доступа лицами, которым не предоставлено право самостоятельного доступа в помещения, только под контролем работников финансовой организации, которым предоставлено такое право.
Уровень защиты информации 3-Н, 2-О, 1-О.
Реализация - О
Реализуется путем регламентации процесса осуществления физического доступа лицами, которым не предоставлено право самостоятельного доступа в помещения, только под контролем работников финансовой организации, которым предоставлено такое право.
Проверочные процедуры (свидетельства)
ВНД: Инструкция по организации пропускного и внутриобъектового режима (Положение о КЗ); Журнал учета посетителей.
Типичные недостатки
Не выявлены.
Компенсационные меры
Не выявлены.
Выявленные коллизии
Не выявлены.
ФД.6 (О-О-О)
Назначение для всех помещений распорядителя физического доступа.
уровень защиты информации 3-О, 2-О, 1-О.
Реализация - О
Реализуется путем назначения для всех помещений распорядителя физического доступа (например, распорядителем физического доступа является служба комплексной безопасности).
Проверочные процедуры (свидетельства)
ВНД: Инструкция по организации пропускного и внутриобъектового режима (Положение о КЗ); Приказ о назначении распорядителя физического доступа.
Типичные недостатки
Не выявлены.
Компенсационные меры
Не выявлены.
Выявленные коллизии
Не выявлены.
ФД.7 (О-О-О)
Предоставление права самостоятельного физического доступа в помещения по решению распорядителя физического доступа.
уровень защиты информации 3-О, 2-О, 1-О.
Реализация - О
Реализуется путем регламентации процесса предоставления права самостоятельного физического доступа в помещения, только по решению распорядителя физического доступа.
Проверочные процедуры (свидетельства)
ВНД: Инструкция по организации пропускного и внутриобъектового режима (Положение о КЗ); Приказ о назначении распорядителя физического доступа.
Фото/Скриншоты: Заявка на предоставление доступа в помещения КЗ, согласованная с распорядителем физического доступа.
Типичные недостатки
Не выявлены.
Компенсационные меры
Не выявлены.
Выявленные коллизии
Не выявлены.
ФД.8 (О-О-О)
Оборудование входных дверей помещения механическими замками, обеспечивающими надежное закрытие помещений в нерабочее время.
Уровень защиты информации 3-О, 2-О, 1-О.
Реализация - О
Реализуется путем регламентации оборудования входных дверей помещений механическими замками, обеспечивающими надежное закрытие помещений в нерабочее время.
Проверочные процедуры (свидетельства)
ВНД: Инструкция по организации пропускного и внутриобъектового режима (Положение о КЗ).
Фото/Скриншоты: Дверей от помещений оборудованных механическими замками, обеспечивающими надежное закрытие помещений в нерабочее время.
Типичные недостатки
Не выявлены.
Компенсационные меры
Не выявлены.
Выявленные коллизии
Не выявлены.
ФД.9 (Н-Н-Т)
Оборудование помещений средствами (системами) контроля и управления доступом.
Уровень защиты информации 3-Н, 2-Н, 1-Т.
Реализация - Т
Входные двери помещений должны быть оборудованы СКУД, обеспечивающей надежное закрытие помещений.
Проверочные процедуры (свидетельства)
ВНД: Инструкция по организации пропускного и внутриобъектового режима (Положение о КЗ).
Фото/Скриншоты: Дверей от помещений, оборудованных СКУД.
Типичные недостатки
Не выявлены.
Компенсационные меры
Не выявлены.
Выявленные коллизии
Не выявлены.
ФД.10 (Н-Н-Т)
Оборудование помещений средствами видеонаблюдения.
Уровень защиты информации 3-Н, 2-Н, 1-Т.
Реализация - Т
Помещения должны быть оборудованы средствами видеонаблюдения.
Проверочные процедуры (свидетельства)
ВНД: Инструкция по организации пропускного и внутриобъектового режима (Положение о КЗ); Положение о системе видеонаблюдения.
Фото/Скриншоты: Системы видеонаблюдения.
Типичные недостатки
Не выявлены.
Компенсационные меры
Не выявлены.
Выявленные коллизии
Не выявлены.
ФД.11 (Н-Н-Т)
Оборудование помещений средствами охранной и пожарной сигнализации.
Уровень защиты информации 3-Н, 2-Н, 1-Т.
Реализация - Т
Помещения должны быть оборудованы средствами охранной и пожарной сигнализации.
Проверочные процедуры (свидетельства)
ВНД: Инструкция по организации пропускного и внутриобъектового режима (Положение о КЗ).
Фото/Скриншоты: Средств охранной и пожарной сигнализации.
Типичные недостатки
Не выявлены.
Компенсационные меры
Не выявлены.
Выявленные коллизии
Не выявлены.
ФД.12 (Н-О-О)
Расположение серверного и сетевого оборудования в запираемых серверных стоечных шкафах.
Уровень защиты информации 3-Н, 2-О, 1-О.
Реализация - О
Реализуется путем регламентации расположения серверного и сетевого оборудования в запираемых серверных стоечных шкафах.
Запираемые стоечные шкафы должны гарантировать недопущение несанкционированного доступа к серверному и сетевому оборудованию.
Проверочные процедуры (свидетельства)
ВНД: Инструкция по организации пропускного и внутриобъектового режима (Положение о КЗ, раздел про Серверную комнату).
Фото/Скриншоты: Стоечных шкафов с серверным и сетевым оборудованием.
В случае расположения серверного и сетевого оборудования в ЦОД необходимо предоставление договора, в котором будут прописаны меры обеспечения безопасности гарантирующие недопущение несанкционированного доступа.
Типичные недостатки
Не выявлены.
Компенсационные меры
Не выявлены.
Выявленные коллизии
Не выявлены.
ФД.13 (Н-О-О)
Контроль доступа к серверному и сетевому оборудованию, расположенному в запираемых серверных стоечных шкафах.
Уровень защиты информации 3-Н, 2-О, 1-О.
Реализация - О
Реализуется путем регламентации проведения контроля доступа к серверному и сетевому оборудованию, расположенному в запираемых серверных стоечных шкафах. Контроль может осуществляться в ручную ответственным вахтером-администратором при выдаче ключей от серверной, с занесением информации в соответствующий Журнал учета (например, Журнал учета выдачи ключей от серверной).
Также контроль может осуществляться с помощью СКУД, в случае использования персоналом карт-доступа.
Проверочные процедуры (свидетельства)
ВНД: Инструкция по организации пропускного и внутриобъектового режима (Положение о КЗ, раздел про серверную комнату); Перечень лиц, которым предоставлено право самостоятельного физического доступа в помещения КЗ; Журнал учета посетителей серверной.
Фото/Скриншоты: Контроля доступа в серверную (СКУД).
В случае размещения серверного и сетевого оборудования в ЦОД необходимо предоставление договора, в котором контроль доступа будет возложен на службу безопасности ЦОД.
Типичные недостатки
Не выявлены.
Компенсационные меры
Не выявлены.
Выявленные коллизии
Не выявлены.
ФД.14 (Н-Н-Т)
Хранение архивов информации средств (систем) контроля и управления доступом не менее трех лет.
Уровень защиты информации 3-Н, 2-Н, 1-Т.
Реализация - Т
Требование реализуется встроенным в СКУД функционалом.
Проверочные процедуры (свидетельства)
ВНД: Регламент резервного копирования.
Фото/Скриншоты: Настроек СКУД в части срока хранения архивов информации СКУД; Фрагмент записи СКУД сроком хранения не менее трех лет.
Типичные недостатки
Не выявлены.
Компенсационные меры
Не выявлены.
Выявленные коллизии
Не выявлены.
ФД.15 (Н-Т-Н)
Хранение архивов информации средств видеонаблюдения не менее 14 дней.
Уровень защиты информации 3-Н, 2-Т, 1-Н.
Реализация - Т
Требование реализуется встроенным в систему видеонаблюдения функционалом.
Проверочные процедуры (свидетельства)
ВНД: Регламент резервного копирования.
Фото/Скриншоты: Настроек ПО системы видеонаблюдения в части срока хранения архивов информации; Фрагменты записи камер видеонаблюдения сроком хранения более 14 дней.
Типичные недостатки
Не выявлены.
Компенсационные меры
Не выявлены.
Выявленные коллизии
Не выявлены.
ФД.16 (Н-Н-Т)
Хранение архивов информации средств видеонаблюдения не менее 90 дней.
Уровень защиты информации 3-Н, 2-Н, 1-Т.
Реализация - Т
Требование реализуется встроенным в систему видеонаблюдения функционалом.
Проверочные процедуры (свидетельства)
ВНД: Регламент резервного копирования.
Фото/Скриншоты: Настроек ПО системы видеонаблюдения в части срока хранения архивов информации; Фрагменты записи камер видеонаблюдения сроком хранения более 90 дней.
Типичные недостатки
Не выявлены.
Компенсационные меры
Не выявлены.
Выявленные коллизии
Не выявлены.
Last updated