ИУ - Идентификация и учет ресурсов и объектов доступа

Подпроцесс «Идентификация и учет ресурсов и объектов доступа»

ИУ.1-6

Базовый состав мер по организации учета и контроля состава ресурсов и объектов доступа

ИУ.1 (О-Т-Т)

Учет созданных, используемых и (или) эксплуатируемых ресурсов доступа
Уровень защиты информации 3-О, 2-Т, 1-Н

Пояснение

Мера определяет требования к учету созданных, используемых и эксплуатируемых ресурсов доступа финансовой организации.

Реализация - О (3 УЗ)

Требование организационного уровня может быть реализовано финансовой организацией через составление инвентарных описей используемых ресурсов доступа.

В состав таких описей как минимум стоит включать информацию, необходимую для функционирования рассматриваемых ресурсов доступа:

тип ресурса доступа;
формат ресурса доступа;
размещение ресурса доступа;
информация о резервировании ресурса доступа;
информация о значимости (ценности) для бизнеса финансовой организации.

Вести инвентарную опись ресурсов доступа можно и в формате Excel-таблицы, которая будет включать в себя вышеописанную информацию.

Проверочные процедуры (свидетельства)

Свидетельствами реализации требования могут быть как сами инвентарные описи используемых в финансовой организации ресурсов доступа, так и их совокупность, зафиксированная в электронном формате (например, в виде Excel-таблицы).

Типичные недостатки

При стремительно меняющейся ИТ-инфраструктуре организации основным недостатком в реализации требования является актуальность поддерживаемого перечня ресурсов доступа и информации, описывающей каждый из ресурсов доступа финансовой организации.

Компенсационные меры

Для мер

Выявленные коллизии

Для коллизий

Реализация - Т (1 и 2 УЗ)

Требование технического уровня может быть реализовано финансовой организацией при помощи использования специализированного ПО, реализующего функцию учета ресурсов доступа финансовой организации.

Требование говорит о необходимости централизованной инвентаризации всех ресурсов доступа одной системой учета.

Требование может быть реализовано разными техническими средства финансовой организации, для рекомендуемого основного перечня ресурсов доступа, представленного ГОСТ Р 57580.1-2017:

АС - перечень автоматизированных систем финансовой организации может вестись в специализированных системах учета объектов и ресурсов доступа, например:

Zabbix: мониторим всё подряд (на примере Redis'а)Хабр

iTop ITSM & CMDB по-русски

2. Базы данных - перечень баз данных, может быть зафиксирован при помощи систем управления базами данных финансовой организации. При выборе определенной СУБД стоит опираться на особенности их функционирования:

Какую СУБД выбрать и почему? (Статья 1)Хабр

3. Сетевые файловые ресурсы - перечень сетевых файловых ресурсов можно фиксировать при помощи специализированного ПО, обеспечивающего учет и аудит событий таких ресурсов:

Настройка аудита файловых серверов: подробная инструкция и шпаргалка (.pdf)Хабр

File Server Auditing Software from NetwrixNetwrix

4. Виртуальные машины - перечень виртуальных машин может быть зафиксирован при помощи централизованной системы управления виртуальными машинами

Проверочные процедуры (свидетельства)

Типичные недостатки

Компенсационные меры

Для мер

Выявленные коллизии

Для коллизий

ИУ.2 (О-О-Т)

Учет созданных, используемых и (или) эксплуатируемых ресурсов доступа
Уровень защиты информации 3-О, 2-Т, 1-Н

Пояснение

Реализация - О (3 УЗ)

тип ресурса доступа;
формат ресурса доступа;
размещение ресурса доступа;
информация о резервировании ресурса доступа;
информация о значимости (ценности) для бизнеса финансовой организации.

Проверочные процедуры (свидетельства)

Типичные недостатки

Компенсационные меры

Для мер

Выявленные коллизии

Для коллизий

PreviousФД 21 NextИУ 1-6

Last updated 1 year ago