ФД 17-20
Базовый состав мер по организации и контролю физического доступа к общедоступным объектам доступа применительно к уровням защиты информации.
ФД.17 (Н-Т-Т)
Регистрация доступа к общедоступным объектам доступа с использованием средств видеонаблюдения.
Уровень защиты информации 3-Н, 2-Т, 1-Т.
Реализация - Т
Требование реализуется с помощью системы видеонаблюдения, регистрирующей доступ к общедоступным объектам доступа (банкоматы и т.д.). К общедоступным ресурсам доступа относят объекты доступа, расположенные в публичных (общедоступных) местах (в том числе банкоматы, платежные терминалы, при этом платежные терминалы следует отличать от POS-терминалов оплаты картами). Общедоступные места – места доступа, в которые физический доступ не ограничивается специальным кругом лиц и не требует дополнительной аутентификации. К таким местам, в том числе относятся зоны клиентского обслуживания. В общедоступных местах могут размещаться не только банкоматы или платежные терминалы, но и общедоступные рабочие места с ограниченным набором систем. Такие рабочие места также попадают под область проверки общедоступных ресурсов доступа.
Проверочные процедуры (свидетельства)
Внутренний документ: Положение о системе видеонаблюдения, либо документы, регламентирующие оснащение банкоматов, терминалов, рабочих мест клиентов системой видеонаблюдения.
Фото/Скриншоты: Фрагменты записи камер видеонаблюдения, фиксирующих доступ к общедоступным объектам доступа (банкоматам, платежным терминалам и т.д.).
Типичные недостатки
Не выявлены.
Компенсационные меры
Не выявлены.
Выявленные коллизии
Не выявлены.
ФД.18 (Н-Т-Т)
Хранение архивов информации средств видеонаблюдения, регистрирующих доступ к общедоступным объектам доступа, не менее 14 дней.
Уровень защиты информации 3-Н, 2-Т, 1-Т.
Реализация - Т
Требование реализуется встроенным в ПО системы видеонаблюдения функционалом либо выполняется дополнительное архивирование и хранение файлов видеонаблюдения в течение не менее 14 дней.
К общедоступным ресурсам доступа относят объекты доступа, расположенные в публичных (общедоступных) местах (в том числе банкоматы, платежные терминалы, при этом платежные терминалы следует отличать от POS-терминалов оплаты картами). Общедоступные места – места доступа, в которые физический доступ не ограничивается специальным кругом лиц и не требует дополнительной аутентификации. К таким местам, в том числе относятся зоны клиентского обслуживания. В общедоступных местах могут размещаться не только банкоматы или платежные терминалы, но и общедоступные рабочие места с ограниченным набором систем. Такие рабочие места также попадают под область проверки общедоступных ресурсов доступа.
Проверочные процедуры (свидетельства)
Внутренний документ: Регламент резервного копирования, инструкция внутриобъектового режима.
Фото/Скриншоты: Настроек ПО системы видеонаблюдения в части срока хранения архивов информации; фрагменты записи камер видеонаблюдения сроком хранения более 14 дней.
Типичные недостатки
Не выявлены.
Компенсационные меры
Не выявлены.
Выявленные коллизии
В формулировке меры не указывается, что система видеонаблюдения должна быть встроена в само устройство общедоступного объекта, таким образом валидным является свидетельство даже с камер видеонаблюдения помещений, если они фиксируют доступ к объекту.
ФД.19 (О-О-О)
Контроль состояния общедоступных объектов доступа с целью выявления несанкционированных изменений в их аппаратном обеспечении и (или) ПО.
Уровень защиты информации 3-О, 2-О, 1-О.
Реализация - О
Требование реализуется путем регламентации контроля состояния общедоступных объектов доступа с целью выявления несанкционированных изменений в их аппаратном обеспечении и (или) ПО.
К общедоступным ресурсам доступа относят объекты доступа, расположенные в публичных (общедоступных) местах (в том числе банкоматы, платежные терминалы, при этом платежные терминалы следует отличать от POS-терминалов оплаты картами). Общедоступные места – места доступа, в которые физический доступ не ограничивается специальным кругом лиц и не требует дополнительной аутентификации. К таким местам, в том числе относятся зоны клиентского обслуживания. В общедоступных местах могут размещаться не только банкоматы или платежные терминалы, но и общедоступные рабочие места с ограниченным набором систем. Такие рабочие места также попадают под область проверки общедоступных ресурсов доступа
Проверочные процедуры (свидетельства)
ВНД: Порядок эксплуатации банкоматов.
Типичные недостатки
Не выявлены.
Компенсационные меры
Не выявлены.
Выявленные коллизии
Не выявлены.
ФД.20 (О-О-О)
Приведение общедоступных объектов доступа, для которых были выявлены несанкционированные изменения в их аппаратном обеспечении и (или) ПО (до устранения указанных несанкционированных изменений), в состояние, при котором невозможно их использование для осуществления операции (транзакции), приводящей к финансовым последствиям для финансовой организации, клиентов и контрагентов.
Уровень защиты информации 3-О, 2-О, 1-О.
Реализация - О
Требование реализуется путем регламентации процесса блокировки доступа для общедоступных объектов.
Требование может реализовываться технически, оснащением объектов специальным программно-аппаратным обеспечением контроля состояния, срабатывающем и блокирующим работу объекта в случае нарушения целостности.
К общедоступным ресурсам доступа относят объекты доступа, расположенные в публичных (общедоступных) местах (в том числе банкоматы, платежные терминалы, при этом платежные терминалы следует отличать от POS-терминалов оплаты картами). Общедоступные места – места доступа, в которые физический доступ не ограничивается специальным кругом лиц и не требует дополнительной аутентификации. К таким местам, в том числе относятся зоны клиентского обслуживания. В общедоступных местах могут размещаться не только банкоматы или платежные терминалы, но и общедоступные рабочие места с ограниченным набором систем. Такие рабочие места также попадают под область проверки общедоступных ресурсов доступа.
Проверочные процедуры (свидетельства)
Внутренние документы: Порядок эксплуатации банкоматов, платежных терминалов, рабочих мест клиентов. Порядок инкассации банкоматов и платежных терминалов. Порядок периодического контроля рабочих мест клиентов. Указание в документах порядка проверки объектов на посторонние вмешательства.
Типичные недостатки
Не выявлены.
Компенсационные меры
Не выявлены.
Выявленные коллизии
Не выявлены.
Last updated