LogoLogo
  • О Wiki
  • Определения
    • Определения ГОСТ 57580
    • Определения ГОСТ 50922
    • Определения СТО БР
    • Определения Иные
  • Процессы
    • 1-П. Обеспечение защиты информации при управлении доступом
      • УЗП - Управление учетными записями и правами субъектов логического доступа
        • УЗП 1-4
        • УЗП 5-21
        • УЗП 22-29
      • РД - Идентификация, аутентификация, авторизация (разгранич. доступа) при осуществлении лог. доступа
        • РД 1-16
        • РД 17-29
        • РД 30-38
        • РД 39-44
      • ФД - Защита информации при осуществлении физического доступа
        • ФД 1-16
        • ФД 17-20
        • ФД 21
      • ИУ - Идентификация и учет ресурсов и объектов доступа
        • ИУ 1-6
        • ИУ 7-8
    • 2-П. Обеспечение защиты вычислительных сетей
      • СМЭ - Сегментация и межсетевое экранирование вычислительных сетей
        • СМЭ 1-13
        • СМЭ 14-20
        • СМЭ 21
      • ВСА - Выявление вторжений и сетевых атак
        • ВСА 1-13
        • ВСА 14
      • ЗВС - Защита информации, передаваемой по вычислительным сетям
        • ЗВС 1-2
      • ЗБС - Защита беспроводных сетей
        • ЗБС 1-2
        • ЗБС 3-8
        • ЗБС 9-10
    • 3-П. ЦЗИ - Контроль целостности и защищенности информационной инфраструктуры
      • ЦЗИ 1-11
      • ЦЗИ 12-19
      • ЦЗИ 20-26
      • ЦЗИ 27-36
    • 4-П. ЗВК - Защита от вредоносного кода
      • ЗВК 1-7
      • ЗВК 8-21
      • ЗВК 22-28
    • 5-П. ПУИ - Предотвращение утечек информации
      • ПУИ 1-4
      • ПУИ 5-19
      • ПУИ 20-27
      • ПУИ 28-33
    • 6-П. Управление инцидентами защиты информации
      • МАС - Мониторинг и анализ событий защиты информации
        • МАС 1-7
        • МАС 8-16
        • МАС 17-20
        • МАС 21-23
      • РИ - Обнаружение инцидентов защиты информации и реагирование на них
        • РИ 1-5
        • РИ 6-14
        • РИ 15-18
        • РИ 19
    • 7-П. ЗСВ - Защита среды виртуализации
      • ЗСВ 1-12
      • ЗСВ 13-31
      • ЗСВ 32-43
    • 8-П. ЗУД - Защита информации при осуществлении удаленного логического доступа с использованием моб
      • ЗУД 1-4
      • ЗУД 5-9
      • ЗУД 10-12
  • Направления
    • 1-Н. ПЗИ - Планирование процесса системы защиты информации
      • ПЗИ 1 - 5
    • 2-Н. РЗИ - Реализация процесса системы защиты информации
      • РЗИ 1-4
      • РЗИ 5-10
      • РЗИ 11-16
    • 3-Н. КЗИ - Контроль процесса системы защиты информации
      • КЗИ 1 - 8
      • КЗИ 9 - 12
    • 4-Н. СЗИ - Совершенствование процесса системы защиты информации
      • СЗИ 1 - 4
  • Требования
    • ЖЦ - Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложени
      • ЖЦ 1 -11
      • ЖЦ 12 -14
      • ЖЦ 15 - 25
      • ЖЦ 26 - 28
  • Приложения
    • Б. Состав и содержание организационных мер, связанных с обработкой финансовой организацией ПДн
    • В. Перечень событий защиты информации
Powered by GitBook
On this page
  • РД.30 (Т-Т-Т)
  • РД.31 (Т-Т-Т)
  • РД.32 (Н-Н-Т)
  • РД.33 (Т-Т-Т)
  • РД.34 (О-Т-Т)
  • РД.35 (Т-Т-Т)
  • РД.36 (Н-Н-Т)
  • РД.37 (Н-Т-Т)
  • РД.38 (О-О-О)
  1. Процессы
  2. 1-П. Обеспечение защиты информации при управлении доступом
  3. РД - Идентификация, аутентификация, авторизация (разгранич. доступа) при осуществлении лог. доступа

РД 30-38

Базовый состав мер по авторизации (разграничению доступа) при осуществлении логического доступа применительно к уровням защиты информации

РД.30 (Т-Т-Т)

Авторизация логического доступа к ресурсам доступа, в том числе АС.

Уровень защиты информации 3-Т, 2-Т, 1-Т.

Пояснение

Для пояснения

Пояснение

Мера требует, чтобы до получения доступа к ресурсам доступа была выполнена процедура авторизации (когда система решает, что этому пользователю можно делать, а что нельзя).

Реализация - Т

Реализуется встроенными механизмами безопасности ОС, встроенными или накладными средствами защиты от НСД, средствами защиты среды виртуализации, системой контроля действий привилегированных пользователей (PAM), настройками активного сетевого оборудования.

К встроенным механизмам ОС относятся групповые политики:

Active Directroy в ОС систем Windows (или AD GPO), cлужба Astra Linux Directory для ОС Astra Linux Special Edition.

К накладным средствам защиты относятся:

  • Secret Net Studio;

  • Secret Net LSP;

  • СЗИ Dallas Lock;

  • СЗИ НСД Dallas Lock Linux;

  • vGate;

  • PAM-Indeed Privileged Access Manager;

  • UserGate.

Проверочные процедуры (свидетельства)

Демонстрация (скриншоты) настроек распределения различных прав доступа субъектам и факта того, что субъект доступа получает только те полномочия, которые ему предоставлены.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

РД.31 (Т-Т-Т)

Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод) при разграничении логического доступа к ресурсам доступа.

Уровень защиты информации 3-Т, 2-Т, 1-Т.

Пояснение

Для пояснения

Пояснение

Мера требует, чтобы для назначения полномочий доступа использовались стандартные методы (дискреционный, мандатный, ролевой или иной метод).

Реализация - Т

Реализуется встроенными механизмами безопасности ОС, встроенными или накладными средствами защиты от НСД, средствами защиты среды виртуализации, системой контроля действий привилегированных пользователей (PAM), настройками активного сетевого оборудования.

К встроенным механизмам ОС относятся групповые политики:

Active Directroy в ОС систем Windows (или AD GPO), cлужба Astra Linux Directory для ОС Astra Linux Special Edition.

К накладным средствам защиты относятся:

  • Secret Net Studio;

  • Secret Net LSP;

  • СЗИ Dallas Lock;

  • СЗИ НСД Dallas Lock Linux;

  • vGate;

  • PAM-Indeed Privileged Access Manager;

  • UserGate;

  • IDM-Solar inRights.

Проверочные процедуры (свидетельства)

Демонстрация (скриншоты) настроек распределения прав доступа, при этом в настройках должен определяться метод предоставления доступа. Для ролевого метода должны быть видны шаблоны ролей, для дискреционного доступа виден факт присвоения уровня доступа субъекту по решению распределителя доступа.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

РД.32 (Н-Н-Т)

Реализация ролевого метода (с определением для каждой роли прав доступа) при разграничении логического доступа в АС.

Уровень защиты информации 3-Н, 2-Н, 1-Т.

Пояснение

Для пояснения

Пояснение

Мера требует, чтобы для назначения полномочий доступа в АС использовался только ролевой метод доступа.

Реализация - Т

Реализуется встроенными механизмами безопасности ОС, встроенными или накладными средствами защиты от НСД, средствами защиты среды виртуализации, системой контроля действий привилегированных пользователей (PAM), настройками активного сетевого оборудования.

К встроенным механизмам ОС относятся групповые политики:

Active Directroy в ОС систем Windows (или AD GPO), cлужба Astra Linux Directory для ОС Astra Linux Special Edition.

К накладным средствам защиты относятся:

  • Secret Net Studio;

  • Secret Net LSP;

  • СЗИ Dallas Lock;

  • СЗИ НСД Dallas Lock Linux;

  • vGate;

  • PAM-Indeed Privileged Access Manager;

  • UserGate;

  • IDM-Solar inRights.

Проверочные процедуры (свидетельства)

Демонстрация (скриншоты) настроек распределения прав доступа, при этом в настройках должен определяться только ролевой метод предоставления доступа в АС. Для ролевого метода должны быть видны шаблоны ролей.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

РД.33 (Т-Т-Т)

Реализация необходимых типов (чтение, запись, выполнение или иной тип) и правил разграничения логического доступа к ресурсам доступа, в том числе АС.

Уровень защиты информации 3-Т, 2-Т, 1-Т

Пояснение

Для пояснения

Пояснение

Мера требует, чтобы для субъекта доступа был однозначно определен уровень полномочий и установлены правила присвоения того или иного уровня полномочий

Реализация - Т

Реализуется встроенными механизмами безопасности ОС, встроенными или накладными средствами защиты от НСД, средствами защиты среды виртуализации, системой контроля действий привилегированных пользователей (PAM), настройками активного сетевого оборудования.

К встроенным механизмам ОС относятся групповые политики.

Active Directroy в ОС систем Windows (или AD GPO), cлужба Astra Linux Directory для ОС Astra Linux Special Edition.

К накладным средствам защиты относятся:

  • Secret Net Studio;

  • Secret Net LSP;

  • СЗИ Dallas Lock;

  • СЗИ НСД Dallas Lock Linux;

  • vGate;

  • PAM-Indeed Privileged Access Manager;

  • UserGate.

Проверочные процедуры (свидетельства)

Демонстрация (скриншоты) настроек доступа, при этом должно быть определяемо, каким уровнем полномочий наделен субъект и по какому принципу.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

РД.34 (О-Т-Т)

Запрет реализации пользователями бизнес-процессов и технологических процессов финансовой организации с использованием учетных записей эксплуатационного персонала, в том числе в АС.

Уровень защиты информации 3-О, 2-Т, 1-Т.

Пояснение

Для пояснения

Пояснение

Мера требует, чтобы для субъекта доступа была реализована невозможность совмещения привилегированного доступа и роли для выполнения технологических процессов.

Реализация - Т

Реализуется с помощью: система контроля действий привилегированных пользователей (PAM), система управления доступом (IDM) Пример реализации PAM-Indeed Privileged Access Manager и IDM-Solar inRights.

Мера может быть реализована через ограничения полномочий средствами доступа АС (например, технологический запрет назначения субъекту роли администратора, если субъект имеет доступ к бизнес-процедурам).

Реализация - О

Запрет реализации пользователями бизнес-процессов и технологических процессов финансовой организации с использования учетных записей эксплуатационного персонала, в том числе в АС должен быть определен во внутреннем документе. При предоставлении или изменении прав доступа такой запрет должен проверяться по составу запрашиваемых прав доступа и ставиться отметка, что нарушений запрета в правах доступа не выявлено при их отсутствии, а при наличии нарушения – прохождение заявки на получение прав доступа блокироваться ответственным работником до устранения нарушений.

Проверочные процедуры (свидетельства) - Т

Демонстрация (скриншоты) настроек, где видно отсутствие факта совмещения субъектом конфликтных ролей. По возможности — демонстрация невозможности назначения административных ролей, если субъект имеет доступ к бизнес-процедурам.

Демонстрация работы PAM, IdM систем в случае конфликтного назначения ролей.

Проверочные процедуры (свидетельства) - О

Выдержка из внутреннего документа с указанием запрета реализации пользователями бизнес-процессов и технологических процессов финансовой организации с использования учетных записей эксплуатационного персонала, в том числе в АС. Примеры заявок на предоставление или изменение прав доступа, содержащие визу проверки отсутствия нарушения.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

РД.35 (Т-Т-Т)

Запрет выполнения пользователями бизнес-процессов с использованием привилегированных прав логического доступа, в том числе работы пользователей с правами локального администратора АРМ.

Уровень защиты информации 3-Т, 2-Т, 1-Т.

Пояснение

Для пояснения

Пояснение

Мера требует, чтобы для субъекта доступа была реализована невозможность использования привилегированных прав логического доступа.

Реализация - Т

Реализуется с помощью: система контроля действий привилегированных пользователей (PAM), система управления доступом (IDM) Пример реализации PAM-Indeed Privileged Access Manager и IDM-Solar inRights.

Мера может быть реализована через ограничения полномочий средствами доступа АС (например, технологический запрет назначения субъекту роли администратора, если субъект имеет доступ к бизнес-процедурам).

Проверочные процедуры (свидетельства)

Демонстрация (скриншоты) настроек, где видно отсутствие факта совмещения субъектом конфликтных ролей. По возможности — демонстрация невозможности назначения административных ролей, если субъект имеет доступ к бизнес-процедурам.

Демонстрация работы PAM, IdM систем в случае конфликтного назначения ролей.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

РД.36 (Н-Н-Т)

Оповещение субъекта логического доступа после успешной авторизации о дате и времени его предыдущей авторизации в АС.

Уровень защиты информации 3-Н, 2-Н, 1-Т.

Пояснение

Для пояснения

Пояснение

Для пояснения

Реализация - Т

Информационное сообщение в АС, запись в журнале действий по авторизации, сообщение на адрес электронной почты или мобильный номер субъекта, содержащие информацию о предыдущей авторизации, содержащее дату и время авторизации. Таковыми оповещениями будут также оповещения о текущей авторизации АС (так как при следующей авторизации они станут сообщениями о предыдущей авторизации).

Проверочные процедуры (свидетельства)

Скриншоты уведомлений об авторизации (записей из журнала, событий почты или уведомлений на мобильный номер).

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Мера не получила распространения по причине того, что разработчиками АС как правило не реализовывался функционал уведомлений об авторизации для работников кредитной организации.

При этом широкое распространение получила реализация уведомлений об авторизации (текущей или предыдущей) для клиентов в системе ДБО. Таким образом меру можно выбрать и указывать как реализуемую частично для субъектов – клиентов кредитной организации.

РД.37 (Н-Т-Т)

Контроль состава разрешенных действий в АС до выполнения идентификации и аутентификации.

Уровень защиты информации 3-Н, 2-Т, 1-Т.

Пояснение

Для пояснения

Пояснение

Для пояснения

Реализация - Т

Определение технических процедур для систем, позволяющих клиентам выполнять гостевой вход в системы или выполнять удаленную регистрацию. При этом процедура должна обеспечить техническим способом (с помощью функций ПО) выполнение строго установленного ограниченного набора действий (например, сравнения данных клиента в запросе на регистрацию с данными клиента во внутренней системе кредитной организации). Такой набор действий должен протоколироваться и передаваться в SIEM для проверки.

Другим способом контроля может быть остановка обработки обращения клиента на определенном шаге до вмешательства, проверки данных и последующего разрешения дальнейших действий со стороны работника кредитной организации.

Также данная мера требует запрет гостевого входа на АРМ и серверы во внутренние сегменты сети организации.

Если кредитная организация использует публично доступные рабочие места для клиентов, набор возможных действий на них для клиентов также должен быть ограничен, протоколироваться и передаваться в SIEM для проверки.

Проверочные процедуры (свидетельства)

Скриншоты запрета гостевого доступа.

Скриншоты действий в АС по обработке удаленного гостевого входа или запроса на удаленную аутентификацию.

При наличии публично доступного для клиентов рабочего места – скриншоты ограничений настроек и выдачи прав на определенный ограниченных состав действий.

Скриншоты протоколирования действий из SIEM.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

РД.38 (О-О-О)

Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр.

Уровень защиты информации 3-О, 2-О, 1-О

Пояснение

К устройствам вывода относятся мониторы, принтеры, факсы, настенные видео-панели, устройства отображения на платежных терминалах и банкоматах.

При определении порядка исполнения меры следует принять во внимание, что понятие “несанкционированный просмотр” может быть применено не только к клиентам, но и к работникам разных подразделений (работники одного подразделения не должны иметь возможность несанкционированного просмотра информации другого подразделения).

Реализация - О

Данная мера должна быть регламентирована в документе, определяющем порядок организации рабочего места, размещения информационной инфраструктуры или определяющем порядок доступа к автоматизированным системам.

Проверочные процедуры (свидетельства)

Фото размещения устройств печати и мониторов в помещениях со стороны, доступной посетителям.

Типичные недостатки

Некорректное описание меры. Способы размещения инфраструктуры, исключающие несанкционированный просмотр должны определяться в отношении конфиденциальной информации. При этом должны быть определены не только ограничения физического размещения устройств, но и режимы, при которых на публично доступных для обзора посетителей устройствах вывода информации, должен быть ограничен обзор, если устройство работает в режиме вывода конфиденциальной информации (например, выполняется сервисное обслуживание устройства).

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

PreviousРД 17-29NextРД 39-44

Last updated 10 months ago

LogoГрупповые политики (GPO) Active Directory: разбираемся почему это важно и как ими управлять в GPOAdminХабр
LogoСтроим ролевую модель управления доступом. Часть первая, подготовительнаяХабр
LogoСтандарт управления правами доступа к корпоративным файловым информационным ресурсамХабр
LogoМандатная модель управления доступом (MAC): обзор и применение в прикладных системахХабр