LogoLogo
  • О Wiki
  • Определения
    • Определения ГОСТ 57580
    • Определения ГОСТ 50922
    • Определения СТО БР
    • Определения Иные
  • Процессы
    • 1-П. Обеспечение защиты информации при управлении доступом
      • УЗП - Управление учетными записями и правами субъектов логического доступа
        • УЗП 1-4
        • УЗП 5-21
        • УЗП 22-29
      • РД - Идентификация, аутентификация, авторизация (разгранич. доступа) при осуществлении лог. доступа
        • РД 1-16
        • РД 17-29
        • РД 30-38
        • РД 39-44
      • ФД - Защита информации при осуществлении физического доступа
        • ФД 1-16
        • ФД 17-20
        • ФД 21
      • ИУ - Идентификация и учет ресурсов и объектов доступа
        • ИУ 1-6
        • ИУ 7-8
    • 2-П. Обеспечение защиты вычислительных сетей
      • СМЭ - Сегментация и межсетевое экранирование вычислительных сетей
        • СМЭ 1-13
        • СМЭ 14-20
        • СМЭ 21
      • ВСА - Выявление вторжений и сетевых атак
        • ВСА 1-13
        • ВСА 14
      • ЗВС - Защита информации, передаваемой по вычислительным сетям
        • ЗВС 1-2
      • ЗБС - Защита беспроводных сетей
        • ЗБС 1-2
        • ЗБС 3-8
        • ЗБС 9-10
    • 3-П. ЦЗИ - Контроль целостности и защищенности информационной инфраструктуры
      • ЦЗИ 1-11
      • ЦЗИ 12-19
      • ЦЗИ 20-26
      • ЦЗИ 27-36
    • 4-П. ЗВК - Защита от вредоносного кода
      • ЗВК 1-7
      • ЗВК 8-21
      • ЗВК 22-28
    • 5-П. ПУИ - Предотвращение утечек информации
      • ПУИ 1-4
      • ПУИ 5-19
      • ПУИ 20-27
      • ПУИ 28-33
    • 6-П. Управление инцидентами защиты информации
      • МАС - Мониторинг и анализ событий защиты информации
        • МАС 1-7
        • МАС 8-16
        • МАС 17-20
        • МАС 21-23
      • РИ - Обнаружение инцидентов защиты информации и реагирование на них
        • РИ 1-5
        • РИ 6-14
        • РИ 15-18
        • РИ 19
    • 7-П. ЗСВ - Защита среды виртуализации
      • ЗСВ 1-12
      • ЗСВ 13-31
      • ЗСВ 32-43
    • 8-П. ЗУД - Защита информации при осуществлении удаленного логического доступа с использованием моб
      • ЗУД 1-4
      • ЗУД 5-9
      • ЗУД 10-12
  • Направления
    • 1-Н. ПЗИ - Планирование процесса системы защиты информации
      • ПЗИ 1 - 5
    • 2-Н. РЗИ - Реализация процесса системы защиты информации
      • РЗИ 1-4
      • РЗИ 5-10
      • РЗИ 11-16
    • 3-Н. КЗИ - Контроль процесса системы защиты информации
      • КЗИ 1 - 8
      • КЗИ 9 - 12
    • 4-Н. СЗИ - Совершенствование процесса системы защиты информации
      • СЗИ 1 - 4
  • Требования
    • ЖЦ - Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложени
      • ЖЦ 1 -11
      • ЖЦ 12 -14
      • ЖЦ 15 - 25
      • ЖЦ 26 - 28
  • Приложения
    • Б. Состав и содержание организационных мер, связанных с обработкой финансовой организацией ПДн
    • В. Перечень событий защиты информации
Powered by GitBook
On this page
  • ИУ.1 (О-Т-Т)
  • ИУ.2 (О-О-Т)
  • ИУ.3 (О-О-Т)
  • ИУ.4 (О-Т-Т)
  • ИУ.5 (Н-Т-Т)
  • ИУ.6 (Н-О-Т)
  1. Процессы
  2. 1-П. Обеспечение защиты информации при управлении доступом
  3. ИУ - Идентификация и учет ресурсов и объектов доступа

ИУ 1-6

Базовый состав мер по организации учета и контроля состава ресурсов и объектов доступа

ИУ.1 (О-Т-Т)

Учет созданных, используемых и (или) эксплуатируемых ресурсов доступа.

Уровень защиты информации 3-О, 2-Т, 1-Т.

Пояснение

Мера определяет требования к учету созданных, используемых и эксплуатируемых ресурсов доступа финансовой организации.

Реализация - О (3 УЗ)

Требование организационного уровня может быть реализовано финансовой организацией через составление инвентарных описей используемых ресурсов доступа.

В состав таких описей как минимум стоит включать информацию, необходимую для функционирования рассматриваемых ресурсов доступа:

  • тип обеъекта доступа;

  • формат ресурса доступа;

  • размещение ресурса доступа;

  • информация о резервировании ресурса доступа;

  • информация о значимости (ценности) для бизнеса финансовой организации.

Вести инвентарную опись ресурсов доступа можно и в формате Excel-таблицы, которая будет включать в себя вышеописанную информацию.

Проверочные процедуры (свидетельства)

Свидетельствами реализации требования могут быть как сами инвентарные описи используемых в финансовой организации ресурсов доступа, так и их совокупность, зафиксированная в электронном формате (например, в виде Excel-таблицы).

Типичные недостатки

При стремительно меняющейся ИТ-инфраструктуре организации основным недостатком в реализации требования является актуальность поддерживаемого перечня ресурсов доступа и информации, описывающей каждый из ресурсов доступа финансовой организации.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

Реализация - Т (1 и 2 УЗ)

Требование технического уровня может быть реализовано финансовой организацией при помощи использования специализированного ПО, реализующего функцию учета ресурсов доступа финансовой организации.

Требование говорит о необходимости централизованной инвентаризации всех ресурсов доступа одной системой учета.

Требование может быть реализовано разными техническими средства финансовой организации, для рекомендуемого основного перечня ресурсов доступа, представленного ГОСТ Р 57580.1-2017:

  1. АС - перечень автоматизированных систем финансовой организации может вестись в специализированных системах учета объектов и ресурсов доступа, например:

2. Базы данных - перечень баз данных, может быть зафиксирован при помощи систем управления базами данных финансовой организации. При выборе определенной СУБД стоит опираться на особенности их функционирования.

3. Сетевые файловые ресурсы - перечень сетевых файловых ресурсов можно фиксировать при помощи специализированного ПО, обеспечивающего учет и аудит событий таких ресурсов.

4. Виртуальные машины - перечень виртуальных машин может быть зафиксирован при помощи централизованной системы управления виртуальными машинами.

Проверочные процедуры (свидетельства)

Для процедур.

Типичные недостатки

При стремительно меняющейся ИТ-инфраструктуре организации основным недостатком в реализации требования является актуальность поддерживаемого перечня ресурсов доступа и информации, описывающей каждый из ресурсов доступа финансовой организации.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ИУ.2 (О-О-Т)

Учет созданных, используемых и (или) эксплуатируемых объектов доступа.

Уровень защиты информации 3-О, 2-О, 1-Т.

Пояснение

Мера определяет требования к учету созданных, используемых и эксплуатируемых объектов доступа финансовой организации.

Реализация - О (3 УЗ)

Требование организационного уровня может быть реализовано финансовой организацией через составление инвентарных описей используемых объектов доступа, к которым относятся экземпляры физического оборудования.

В состав таких описей как минимум стоит включать информацию, необходимую для функционирования рассматриваемых объектов доступа:

  • тип объекта доступа (сервер, рабочая станция, банкомат, платежный терминал);

  • формат объектов доступа;

  • место размещения объекта доступа;

  • информация о наличии резерва у объекта доступа;

  • информация о значимости (ценности) для бизнеса финансовой организации.

Вести инвентарную опись объектов доступа можно и в формате Excel-таблицы, которая будет включать в себя вышеописанную информацию, либо в системах учета материальных ценностей.

Реализация - Т

Данную меру можно реализовать с использованием: 1. Ведение учета материальных ценностей в специализированных системах;

2. CRM-системы с возможностью составления заявок на доступ к объектам, учета жизненного цикла объекта, формирования перечня субъектов доступа;

1. CMDB, SCCM – систем

2. СЗИ (например, Kaspersky Security Center) - контроль объектов доступа (диски, устройства, файлы, каталоги), приложений, устройств, печати.

3. Системы для мониторинга оборудования (например, Zabbix)

4. Инвентаризации объектов доступа средствами Microsoft Excel.

Проверочные процедуры (свидетельства) - О

Свидетельствами реализации требования могут быть как сами инвентарные описи используемых в финансовой организации объектов доступа, так и их совокупность, зафиксированная в электронном формате (например, в виде Excel-таблицы).

Проверочные процедуры (свидетельства) - Т

1. Выгрузка таблиц или реестров инвентаризации с зафиксированными инвентарными номера для всех используемых и эксплуатируемых объектов доступа;

  1. Скриншоты из ПО, реализующим инвентаризацию объектов доступа.

Типичные недостатки

При стремительно меняющейся ИТ-инфраструктуре организации основным недостатком в реализации требования является актуальность поддерживаемого перечня объектов доступа и информации, описывающей каждый экземпляр объекта доступа финансовой организации.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ИУ.3 (О-О-Т)

Учет эксплуатируемых общедоступных объектов доступа (в том числе банкоматов, платежных терминалов).

Уровень защиты информации 3-О, 2-О, 1-Т.

Пояснение

Для пояснений

Реализация - О

Для реализаций

Реализация - Т

Для реализаций

Проверочные процедуры (свидетельства)

Для процедур

Типичные недостатки

Для недостатков

Компенсационные меры

Для мер

Выявленные коллизии

Для коллизий

ИУ.4 (О-Т-Т)

Контроль фактического состава созданных, используемых и (или) эксплуатируемых ресурсов доступа (баз данных, сетевых файловых ресурсов, виртуальных машин) и их корректного размещения в сегментах вычислительных сетей финансовой организации.

Уровень защиты информации 3-О, 2-Т, 1-Т.

Пояснение

Для пояснений

Реализация - О

Для реализаций

Реализация - Т

Для реализаций

Проверочные процедуры (свидетельства)

Для процедур

Типичные недостатки

Для недостатков

Компенсационные меры

Для мер

Выявленные коллизии

Для коллизий

ИУ.5 (Н-Т-Т)

Контроль выполнения операций по созданию, удалению и резервному копированию ресурсов доступа ( баз данных, сетевых файловых ресурсов, виртуальных машин).

Уровень защиты информации 3-Н, 2-Т, 1-Т.

Пояснение

Мера подразумевает контроль за действиями по созданию, удалению, и резервному копированию ресурсов доступа.

Реализация - Т

Данную меру можно реализовать с использованием: 1. Настройки параметров регистрации Active Directory; 2. Функционала регистрации событий гипервизора (например, Hyper-V); 3. ПО, реализующее необходимый функционал для управления ИТ-активами, в том числе заявками на предоставления ИТ-услуг;

4. Средства централизованного управления ресурсами - например, консоль управления виртуальными машинами, средства мониторинга (Zabbix и т.п.)

  1. Правила корреляции в SIEM-системе

Проверочные процедуры (свидетельства)

1. Скриншот заявок на удаление/создание/резервное копирование ресурсов доступа;

  1. Скриншоты настроенного функционала регистрации событий по созданию, удалению ресурсов доступа в ПО и АС.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ИУ.6 (Н-О-Т)

Контроль фактического состава эксплуатируемых объектов доступа и их корректного размещения в сегментах вычислительных сетей финансовой организации.

Уровень защиты информации 3-Н, 2-О, 1-Т.

Пояснение

Для пояснений

Реализация - О

Контроль изменения состава ОИИ посредством согласования заявок на изменения + необходимо проводить последующий контроль с заявленной периодичностью.

Реализация - Т

Использование СЗИ - Контроль сетевых соединений

Для 2 УЗ - проверка фактических объектов доступа на соответствие учетным данным, формируемым в соответствии с ИУ1 и 3, например, в рамках мероприятий по внутреннему контролю.

Для 1 УЗ - + Настойка правил корреляции в SIEM (при наличии) или использование средства класса sGRC, Asset Management

Проверочные процедуры (свидетельства)

1. Скриншот заявок на ввод\вывод в\из эксплуатацию(и) объектов доступа;

2. Скриншот настроек правил корреляции с SIEM-системе;

  1. Скриншот состава объектов доступа с информацией о расположении их в инфраструктуре из SGRC-систем.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

PreviousИУ - Идентификация и учет ресурсов и объектов доступаNextИУ 7-8

Last updated 10 months ago