LogoLogo
  • О Wiki
  • Определения
    • Определения ГОСТ 57580
    • Определения ГОСТ 50922
    • Определения СТО БР
    • Определения Иные
  • Процессы
    • 1-П. Обеспечение защиты информации при управлении доступом
      • УЗП - Управление учетными записями и правами субъектов логического доступа
        • УЗП 1-4
        • УЗП 5-21
        • УЗП 22-29
      • РД - Идентификация, аутентификация, авторизация (разгранич. доступа) при осуществлении лог. доступа
        • РД 1-16
        • РД 17-29
        • РД 30-38
        • РД 39-44
      • ФД - Защита информации при осуществлении физического доступа
        • ФД 1-16
        • ФД 17-20
        • ФД 21
      • ИУ - Идентификация и учет ресурсов и объектов доступа
        • ИУ 1-6
        • ИУ 7-8
    • 2-П. Обеспечение защиты вычислительных сетей
      • СМЭ - Сегментация и межсетевое экранирование вычислительных сетей
        • СМЭ 1-13
        • СМЭ 14-20
        • СМЭ 21
      • ВСА - Выявление вторжений и сетевых атак
        • ВСА 1-13
        • ВСА 14
      • ЗВС - Защита информации, передаваемой по вычислительным сетям
        • ЗВС 1-2
      • ЗБС - Защита беспроводных сетей
        • ЗБС 1-2
        • ЗБС 3-8
        • ЗБС 9-10
    • 3-П. ЦЗИ - Контроль целостности и защищенности информационной инфраструктуры
      • ЦЗИ 1-11
      • ЦЗИ 12-19
      • ЦЗИ 20-26
      • ЦЗИ 27-36
    • 4-П. ЗВК - Защита от вредоносного кода
      • ЗВК 1-7
      • ЗВК 8-21
      • ЗВК 22-28
    • 5-П. ПУИ - Предотвращение утечек информации
      • ПУИ 1-4
      • ПУИ 5-19
      • ПУИ 20-27
      • ПУИ 28-33
    • 6-П. Управление инцидентами защиты информации
      • МАС - Мониторинг и анализ событий защиты информации
        • МАС 1-7
        • МАС 8-16
        • МАС 17-20
        • МАС 21-23
      • РИ - Обнаружение инцидентов защиты информации и реагирование на них
        • РИ 1-5
        • РИ 6-14
        • РИ 15-18
        • РИ 19
    • 7-П. ЗСВ - Защита среды виртуализации
      • ЗСВ 1-12
      • ЗСВ 13-31
      • ЗСВ 32-43
    • 8-П. ЗУД - Защита информации при осуществлении удаленного логического доступа с использованием моб
      • ЗУД 1-4
      • ЗУД 5-9
      • ЗУД 10-12
  • Направления
    • 1-Н. ПЗИ - Планирование процесса системы защиты информации
      • ПЗИ 1 - 5
    • 2-Н. РЗИ - Реализация процесса системы защиты информации
      • РЗИ 1-4
      • РЗИ 5-10
      • РЗИ 11-16
    • 3-Н. КЗИ - Контроль процесса системы защиты информации
      • КЗИ 1 - 8
      • КЗИ 9 - 12
    • 4-Н. СЗИ - Совершенствование процесса системы защиты информации
      • СЗИ 1 - 4
  • Требования
    • ЖЦ - Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложени
      • ЖЦ 1 -11
      • ЖЦ 12 -14
      • ЖЦ 15 - 25
      • ЖЦ 26 - 28
  • Приложения
    • Б. Состав и содержание организационных мер, связанных с обработкой финансовой организацией ПДн
    • В. Перечень событий защиты информации
Powered by GitBook
On this page
  • ФД.17 (Н-Т-Т)
  • ФД.18 (Н-Т-Т)
  • ФД.19 (О-О-О)
  • ФД.20 (О-О-О)
  1. Процессы
  2. 1-П. Обеспечение защиты информации при управлении доступом
  3. ФД - Защита информации при осуществлении физического доступа

ФД 17-20

Базовый состав мер по организации и контролю физического доступа к общедоступным объектам доступа применительно к уровням защиты информации.

ФД.17 (Н-Т-Т)

Регистрация доступа к общедоступным объектам доступа с использованием средств видеонаблюдения.

Уровень защиты информации 3-Н, 2-Т, 1-Т.

Пояснение

Реализация - Т

Требование реализуется с помощью системы видеонаблюдения, регистрирующей доступ к общедоступным объектам доступа (банкоматы и т.д.). К общедоступным ресурсам доступа относят объекты доступа, расположенные в публичных (общедоступных) местах (в том числе банкоматы, платежные терминалы, при этом платежные терминалы следует отличать от POS-терминалов оплаты картами). Общедоступные места – места доступа, в которые физический доступ не ограничивается специальным кругом лиц и не требует дополнительной аутентификации. К таким местам, в том числе относятся зоны клиентского обслуживания. В общедоступных местах могут размещаться не только банкоматы или платежные терминалы, но и общедоступные рабочие места с ограниченным набором систем. Такие рабочие места также попадают под область проверки общедоступных ресурсов доступа.

Проверочные процедуры (свидетельства)

Внутренний документ: Положение о системе видеонаблюдения, либо документы, регламентирующие оснащение банкоматов, терминалов, рабочих мест клиентов системой видеонаблюдения.

Фото/Скриншоты: Фрагменты записи камер видеонаблюдения, фиксирующих доступ к общедоступным объектам доступа (банкоматам, платежным терминалам и т.д.).

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ФД.18 (Н-Т-Т)

Хранение архивов информации средств видеонаблюдения, регистрирующих доступ к общедоступным объектам доступа, не менее 14 дней.

Уровень защиты информации 3-Н, 2-Т, 1-Т.

Пояснение

Реализация - Т

Требование реализуется встроенным в ПО системы видеонаблюдения функционалом либо выполняется дополнительное архивирование и хранение файлов видеонаблюдения в течение не менее 14 дней.

К общедоступным ресурсам доступа относят объекты доступа, расположенные в публичных (общедоступных) местах (в том числе банкоматы, платежные терминалы, при этом платежные терминалы следует отличать от POS-терминалов оплаты картами). Общедоступные места – места доступа, в которые физический доступ не ограничивается специальным кругом лиц и не требует дополнительной аутентификации. К таким местам, в том числе относятся зоны клиентского обслуживания. В общедоступных местах могут размещаться не только банкоматы или платежные терминалы, но и общедоступные рабочие места с ограниченным набором систем. Такие рабочие места также попадают под область проверки общедоступных ресурсов доступа.

Проверочные процедуры (свидетельства)

Внутренний документ: Регламент резервного копирования, инструкция внутриобъектового режима.

Фото/Скриншоты: Настроек ПО системы видеонаблюдения в части срока хранения архивов информации; фрагменты записи камер видеонаблюдения сроком хранения более 14 дней.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

В формулировке меры не указывается, что система видеонаблюдения должна быть встроена в само устройство общедоступного объекта, таким образом валидным является свидетельство даже с камер видеонаблюдения помещений, если они фиксируют доступ к объекту.

ФД.19 (О-О-О)

Контроль состояния общедоступных объектов доступа с целью выявления несанкционированных изменений в их аппаратном обеспечении и (или) ПО.

Уровень защиты информации 3-О, 2-О, 1-О.

Пояснение

Реализация - О

Требование реализуется путем регламентации контроля состояния общедоступных объектов доступа с целью выявления несанкционированных изменений в их аппаратном обеспечении и (или) ПО.

К общедоступным ресурсам доступа относят объекты доступа, расположенные в публичных (общедоступных) местах (в том числе банкоматы, платежные терминалы, при этом платежные терминалы следует отличать от POS-терминалов оплаты картами). Общедоступные места – места доступа, в которые физический доступ не ограничивается специальным кругом лиц и не требует дополнительной аутентификации. К таким местам, в том числе относятся зоны клиентского обслуживания. В общедоступных местах могут размещаться не только банкоматы или платежные терминалы, но и общедоступные рабочие места с ограниченным набором систем. Такие рабочие места также попадают под область проверки общедоступных ресурсов доступа

Проверочные процедуры (свидетельства)

ВНД: Порядок эксплуатации банкоматов.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ФД.20 (О-О-О)

Приведение общедоступных объектов доступа, для которых были выявлены несанкционированные изменения в их аппаратном обеспечении и (или) ПО (до устранения указанных несанкционированных изменений), в состояние, при котором невозможно их использование для осуществления операции (транзакции), приводящей к финансовым последствиям для финансовой организации, клиентов и контрагентов.

Уровень защиты информации 3-О, 2-О, 1-О.

Пояснение

Реализация - О

Требование реализуется путем регламентации процесса блокировки доступа для общедоступных объектов.

Требование может реализовываться технически, оснащением объектов специальным программно-аппаратным обеспечением контроля состояния, срабатывающем и блокирующим работу объекта в случае нарушения целостности.

К общедоступным ресурсам доступа относят объекты доступа, расположенные в публичных (общедоступных) местах (в том числе банкоматы, платежные терминалы, при этом платежные терминалы следует отличать от POS-терминалов оплаты картами). Общедоступные места – места доступа, в которые физический доступ не ограничивается специальным кругом лиц и не требует дополнительной аутентификации. К таким местам, в том числе относятся зоны клиентского обслуживания. В общедоступных местах могут размещаться не только банкоматы или платежные терминалы, но и общедоступные рабочие места с ограниченным набором систем. Такие рабочие места также попадают под область проверки общедоступных ресурсов доступа.

Проверочные процедуры (свидетельства)

Внутренние документы: Порядок эксплуатации банкоматов, платежных терминалов, рабочих мест клиентов. Порядок инкассации банкоматов и платежных терминалов. Порядок периодического контроля рабочих мест клиентов. Указание в документах порядка проверки объектов на посторонние вмешательства.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

PreviousФД 1-16NextФД 21

Last updated 11 months ago