LogoLogo
  • О Wiki
  • Определения
    • Определения ГОСТ 57580
    • Определения ГОСТ 50922
    • Определения СТО БР
    • Определения Иные
  • Процессы
    • 1-П. Обеспечение защиты информации при управлении доступом
      • УЗП - Управление учетными записями и правами субъектов логического доступа
        • УЗП 1-4
        • УЗП 5-21
        • УЗП 22-29
      • РД - Идентификация, аутентификация, авторизация (разгранич. доступа) при осуществлении лог. доступа
        • РД 1-16
        • РД 17-29
        • РД 30-38
        • РД 39-44
      • ФД - Защита информации при осуществлении физического доступа
        • ФД 1-16
        • ФД 17-20
        • ФД 21
      • ИУ - Идентификация и учет ресурсов и объектов доступа
        • ИУ 1-6
        • ИУ 7-8
    • 2-П. Обеспечение защиты вычислительных сетей
      • СМЭ - Сегментация и межсетевое экранирование вычислительных сетей
        • СМЭ 1-13
        • СМЭ 14-20
        • СМЭ 21
      • ВСА - Выявление вторжений и сетевых атак
        • ВСА 1-13
        • ВСА 14
      • ЗВС - Защита информации, передаваемой по вычислительным сетям
        • ЗВС 1-2
      • ЗБС - Защита беспроводных сетей
        • ЗБС 1-2
        • ЗБС 3-8
        • ЗБС 9-10
    • 3-П. ЦЗИ - Контроль целостности и защищенности информационной инфраструктуры
      • ЦЗИ 1-11
      • ЦЗИ 12-19
      • ЦЗИ 20-26
      • ЦЗИ 27-36
    • 4-П. ЗВК - Защита от вредоносного кода
      • ЗВК 1-7
      • ЗВК 8-21
      • ЗВК 22-28
    • 5-П. ПУИ - Предотвращение утечек информации
      • ПУИ 1-4
      • ПУИ 5-19
      • ПУИ 20-27
      • ПУИ 28-33
    • 6-П. Управление инцидентами защиты информации
      • МАС - Мониторинг и анализ событий защиты информации
        • МАС 1-7
        • МАС 8-16
        • МАС 17-20
        • МАС 21-23
      • РИ - Обнаружение инцидентов защиты информации и реагирование на них
        • РИ 1-5
        • РИ 6-14
        • РИ 15-18
        • РИ 19
    • 7-П. ЗСВ - Защита среды виртуализации
      • ЗСВ 1-12
      • ЗСВ 13-31
      • ЗСВ 32-43
    • 8-П. ЗУД - Защита информации при осуществлении удаленного логического доступа с использованием моб
      • ЗУД 1-4
      • ЗУД 5-9
      • ЗУД 10-12
  • Направления
    • 1-Н. ПЗИ - Планирование процесса системы защиты информации
      • ПЗИ 1 - 5
    • 2-Н. РЗИ - Реализация процесса системы защиты информации
      • РЗИ 1-4
      • РЗИ 5-10
      • РЗИ 11-16
    • 3-Н. КЗИ - Контроль процесса системы защиты информации
      • КЗИ 1 - 8
      • КЗИ 9 - 12
    • 4-Н. СЗИ - Совершенствование процесса системы защиты информации
      • СЗИ 1 - 4
  • Требования
    • ЖЦ - Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложени
      • ЖЦ 1 -11
      • ЖЦ 12 -14
      • ЖЦ 15 - 25
      • ЖЦ 26 - 28
  • Приложения
    • Б. Состав и содержание организационных мер, связанных с обработкой финансовой организацией ПДн
    • В. Перечень событий защиты информации
Powered by GitBook
On this page
  • ИУ.1 (О-Т-Т)
  • ИУ.2 (О-О-Т)
  • ИУ.3 (О-О-Т)
  • ИУ.4 (О-Т-Т)
  • ИУ.5 (Н-Т-Т)
  • ИУ.6 (Н-О-Т)
  1. Процессы
  2. 1-П. Обеспечение защиты информации при управлении доступом
  3. ИУ - Идентификация и учет ресурсов и объектов доступа

ИУ 1-6

Базовый состав мер по организации учета и контроля состава ресурсов и объектов доступа

PreviousИУ - Идентификация и учет ресурсов и объектов доступаNextИУ 7-8

Last updated 12 months ago

ИУ.1 (О-Т-Т)

Учет созданных, используемых и (или) эксплуатируемых .

Уровень защиты информации 3-О, 2-Т, 1-Т.

Пояснение

Мера определяет требования к учету созданных, используемых и эксплуатируемых финансовой организации.

Реализация - О (3 УЗ)

Требование организационного уровня может быть реализовано финансовой организацией через составление инвентарных описей используемых .

В состав таких описей как минимум стоит включать информацию, необходимую для функционирования рассматриваемых :

  • тип обеъекта доступа;

  • формат ресурса доступа;

  • размещение ;

  • информация о резервировании

  • информация о значимости (ценности) для бизнеса финансовой организации.

Вести инвентарную опись можно и в формате Excel-таблицы, которая будет включать в себя вышеописанную информацию.

Проверочные процедуры (свидетельства)

Типичные недостатки

При стремительно меняющейся ИТ-инфраструктуре организации основным недостатком в реализации требования является актуальность поддерживаемого перечня ресурсов доступа и информации, описывающей каждый из ресурсов доступа финансовой организации.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

Реализация - Т (1 и 2 УЗ)

Требование говорит о необходимости централизованной инвентаризации всех ресурсов доступа одной системой учета.

2. Базы данных - перечень баз данных, может быть зафиксирован при помощи систем управления базами данных финансовой организации. При выборе определенной СУБД стоит опираться на особенности их функционирования.

3. Сетевые файловые ресурсы - перечень сетевых файловых ресурсов можно фиксировать при помощи специализированного ПО, обеспечивающего учет и аудит событий таких ресурсов.

4. Виртуальные машины - перечень виртуальных машин может быть зафиксирован при помощи централизованной системы управления виртуальными машинами.

Проверочные процедуры (свидетельства)

Для процедур.

Типичные недостатки

При стремительно меняющейся ИТ-инфраструктуре организации основным недостатком в реализации требования является актуальность поддерживаемого перечня ресурсов доступа и информации, описывающей каждый из ресурсов доступа финансовой организации.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ИУ.2 (О-О-Т)

Учет созданных, используемых и (или) эксплуатируемых объектов доступа.

Уровень защиты информации 3-О, 2-О, 1-Т.

Пояснение

Мера определяет требования к учету созданных, используемых и эксплуатируемых объектов доступа финансовой организации.

Реализация - О (3 УЗ)

Требование организационного уровня может быть реализовано финансовой организацией через составление инвентарных описей используемых объектов доступа, к которым относятся экземпляры физического оборудования.

В состав таких описей как минимум стоит включать информацию, необходимую для функционирования рассматриваемых объектов доступа:

  • тип объекта доступа (сервер, рабочая станция, банкомат, платежный терминал);

  • формат объектов доступа;

  • место размещения объекта доступа;

  • информация о наличии резерва у объекта доступа;

  • информация о значимости (ценности) для бизнеса финансовой организации.

Реализация - Т

Данную меру можно реализовать с использованием: 1. Ведение учета материальных ценностей в специализированных системах;

2. CRM-системы с возможностью составления заявок на доступ к объектам, учета жизненного цикла объекта, формирования перечня субъектов доступа;

1. CMDB, SCCM – систем

2. СЗИ (например, Kaspersky Security Center) - контроль объектов доступа (диски, устройства, файлы, каталоги), приложений, устройств, печати.

3. Системы для мониторинга оборудования (например, Zabbix)

4. Инвентаризации объектов доступа средствами Microsoft Excel.

Проверочные процедуры (свидетельства) - О

Свидетельствами реализации требования могут быть как сами инвентарные описи используемых в финансовой организации объектов доступа, так и их совокупность, зафиксированная в электронном формате (например, в виде Excel-таблицы).

Проверочные процедуры (свидетельства) - Т

1. Выгрузка таблиц или реестров инвентаризации с зафиксированными инвентарными номера для всех используемых и эксплуатируемых объектов доступа;

  1. Скриншоты из ПО, реализующим инвентаризацию объектов доступа.

Типичные недостатки

При стремительно меняющейся ИТ-инфраструктуре организации основным недостатком в реализации требования является актуальность поддерживаемого перечня объектов доступа и информации, описывающей каждый экземпляр объекта доступа финансовой организации.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ИУ.3 (О-О-Т)

Учет эксплуатируемых общедоступных объектов доступа (в том числе банкоматов, платежных терминалов).

Уровень защиты информации 3-О, 2-О, 1-Т.

Пояснение

Для пояснений

Реализация - О

Для реализаций

Реализация - Т

Для реализаций

Проверочные процедуры (свидетельства)

Для процедур

Типичные недостатки

Для недостатков

Компенсационные меры

Для мер

Выявленные коллизии

Для коллизий

ИУ.4 (О-Т-Т)

Контроль фактического состава созданных, используемых и (или) эксплуатируемых ресурсов доступа (баз данных, сетевых файловых ресурсов, виртуальных машин) и их корректного размещения в сегментах вычислительных сетей финансовой организации.

Уровень защиты информации 3-О, 2-Т, 1-Т.

Пояснение

Для пояснений

Реализация - О

Для реализаций

Реализация - Т

Для реализаций

Проверочные процедуры (свидетельства)

Для процедур

Типичные недостатки

Для недостатков

Компенсационные меры

Для мер

Выявленные коллизии

Для коллизий

ИУ.5 (Н-Т-Т)

Контроль выполнения операций по созданию, удалению и резервному копированию ресурсов доступа ( баз данных, сетевых файловых ресурсов, виртуальных машин).

Уровень защиты информации 3-Н, 2-Т, 1-Т.

Пояснение

Мера подразумевает контроль за действиями по созданию, удалению, и резервному копированию ресурсов доступа.

Реализация - Т

Данную меру можно реализовать с использованием: 1. Настройки параметров регистрации Active Directory; 2. Функционала регистрации событий гипервизора (например, Hyper-V); 3. ПО, реализующее необходимый функционал для управления ИТ-активами, в том числе заявками на предоставления ИТ-услуг;

4. Средства централизованного управления ресурсами - например, консоль управления виртуальными машинами, средства мониторинга (Zabbix и т.п.)

  1. Правила корреляции в SIEM-системе

Проверочные процедуры (свидетельства)

1. Скриншот заявок на удаление/создание/резервное копирование ресурсов доступа;

  1. Скриншоты настроенного функционала регистрации событий по созданию, удалению ресурсов доступа в ПО и АС.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ИУ.6 (Н-О-Т)

Контроль фактического состава эксплуатируемых объектов доступа и их корректного размещения в сегментах вычислительных сетей финансовой организации.

Уровень защиты информации 3-Н, 2-О, 1-Т.

Пояснение

Для пояснений

Реализация - О

Контроль изменения состава ОИИ посредством согласования заявок на изменения + необходимо проводить последующий контроль с заявленной периодичностью.

Реализация - Т

Использование СЗИ - Контроль сетевых соединений

Для 2 УЗ - проверка фактических объектов доступа на соответствие учетным данным, формируемым в соответствии с ИУ1 и 3, например, в рамках мероприятий по внутреннему контролю.

Для 1 УЗ - + Настойка правил корреляции в SIEM (при наличии) или использование средства класса sGRC, Asset Management

Проверочные процедуры (свидетельства)

1. Скриншот заявок на ввод\вывод в\из эксплуатацию(и) объектов доступа;

2. Скриншот настроек правил корреляции с SIEM-системе;

  1. Скриншот состава объектов доступа с информацией о расположении их в инфраструктуре из SGRC-систем.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

Свидетельствами реализации требования могут быть как сами инвентарные описи используемых в финансовой организации , так и их совокупность, зафиксированная в электронном формате (например, в виде Excel-таблицы).

Требование технического уровня может быть реализовано финансовой организацией при помощи использования специализированного ПО, реализующего функцию учета финансовой организации.

Требование может быть реализовано разными техническими средства финансовой организации, для рекомендуемого основного перечня , представленного ГОСТ Р 57580.1-2017:

АС - перечень автоматизированных систем финансовой организации может вестись в специализированных системах учетаи , например:

Вести инвентарную опись объектов доступаможно и в формате Excel-таблицы, которая будет включать в себя вышеописанную информацию, либо в системах учета материальных ценностей.

ресурсов доступа
ресурсов доступа
ресурсов доступа
ресурсов доступа
ресурса доступа
ресурса доступа;
ресурсов доступа
ресурсов доступа
ресурсов доступа
ресурсов доступа
объектов
ресурсов доступа