РД 30-38

РД.30 (Т-Т-Т)

Авторизация логического доступа к ресурсам доступа, в том числе АС.

Уровень защиты информации 3-Т, 2-Т, 1-Т.

Пояснение

Для пояснения

Реализация - Т

Реализуется встроенными механизмами безопасности ОС, встроенными или накладными средствами защиты от НСД, средствами защиты среды виртуализации, системой контроля действий привилегированных пользователей (PAM), настройками активного сетевого оборудования.

К встроенным механизмам ОС относятся групповые политики:

Active Directroy в ОС систем Windows (или AD GPO), c для ОС Astra Linux Special Edition.

К накладным средствам защиты относятся:

• Secret Net Studio;

• Secret Net LSP;

• СЗИ Dallas Lock;

• СЗИ НСД Dallas Lock Linux;

• vGate;

• PAM-Indeed Privileged Access Manager;

• UserGate.

Проверочные процедуры (свидетельства)

Демонстрация (скриншоты) настроек распределения различных прав доступа субъектам и факта того, что субъект доступа получает только те полномочия, которые ему предоставлены.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

РД.31 (Т-Т-Т)

Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод) при разграничении логического доступа к ресурсам доступа.

Уровень защиты информации 3-Т, 2-Т, 1-Т.

Пояснение

Для пояснения

Реализация - Т

Реализуется встроенными механизмами безопасности ОС, встроенными или накладными средствами защиты от НСД, средствами защиты среды виртуализации, системой контроля действий привилегированных пользователей (PAM), настройками активного сетевого оборудования.

К встроенным механизмам ОС относятся групповые политики:

К накладным средствам защиты относятся:

• Secret Net Studio;

• Secret Net LSP;

• СЗИ Dallas Lock;

• СЗИ НСД Dallas Lock Linux;

• vGate;

• PAM-Indeed Privileged Access Manager;

• UserGate;

• IDM-Solar inRights.

Проверочные процедуры (свидетельства)

Демонстрация (скриншоты) настроек распределения прав доступа, при этом в настройках должен определяться метод предоставления доступа. Для ролевого метода должны быть видны шаблоны ролей, для дискреционного доступа виден факт присвоения уровня доступа субъекту по решению распределителя доступа.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

РД.32 (Н-Н-Т)

Реализация ролевого метода (с определением для каждой роли прав доступа) при разграничении логического доступа в АС.

Уровень защиты информации 3-Н, 2-Н, 1-Т.

Пояснение

Для пояснения

Реализация - Т

Реализуется встроенными механизмами безопасности ОС, встроенными или накладными средствами защиты от НСД, средствами защиты среды виртуализации, системой контроля действий привилегированных пользователей (PAM), настройками активного сетевого оборудования.

К встроенным механизмам ОС относятся групповые политики:

К накладным средствам защиты относятся:

• Secret Net Studio;

• Secret Net LSP;

• СЗИ Dallas Lock;

• СЗИ НСД Dallas Lock Linux;

• vGate;

• PAM-Indeed Privileged Access Manager;

• UserGate;

• IDM-Solar inRights.

Проверочные процедуры (свидетельства)

Демонстрация (скриншоты) настроек распределения прав доступа, при этом в настройках должен определяться только ролевой метод предоставления доступа в АС. Для ролевого метода должны быть видны шаблоны ролей.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

РД.33 (Т-Т-Т)

Реализация необходимых типов (чтение, запись, выполнение или иной тип) и правил разграничения логического доступа к ресурсам доступа, в том числе АС.

Уровень защиты информации 3-Т, 2-Т, 1-Т

Пояснение

Для пояснения

Реализация - Т

Реализуется встроенными механизмами безопасности ОС, встроенными или накладными средствами защиты от НСД, средствами защиты среды виртуализации, системой контроля действий привилегированных пользователей (PAM), настройками активного сетевого оборудования.

К встроенным механизмам ОС относятся групповые политики.

К накладным средствам защиты относятся:

• Secret Net Studio;

• Secret Net LSP;

• СЗИ Dallas Lock;

• СЗИ НСД Dallas Lock Linux;

• vGate;

• PAM-Indeed Privileged Access Manager;

• UserGate.

Проверочные процедуры (свидетельства)

Демонстрация (скриншоты) настроек доступа, при этом должно быть определяемо, каким уровнем полномочий наделен субъект и по какому принципу.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

РД.34 (О-Т-Т)

Запрет реализации пользователями бизнес-процессов и технологических процессов финансовой организации с использованием учетных записей эксплуатационного персонала, в том числе в АС.

Уровень защиты информации 3-О, 2-Т, 1-Т.

Пояснение

Для пояснения

Реализация - Т

Реализуется с помощью: система контроля действий привилегированных пользователей (PAM), система управления доступом (IDM) Пример реализации PAM-Indeed Privileged Access Manager и IDM-Solar inRights.

Мера может быть реализована через ограничения полномочий средствами доступа АС (например, технологический запрет назначения субъекту роли администратора, если субъект имеет доступ к бизнес-процедурам).

Реализация - О

Запрет реализации пользователями бизнес-процессов и технологических процессов финансовой организации с использования учетных записей эксплуатационного персонала, в том числе в АС должен быть определен во внутреннем документе. При предоставлении или изменении прав доступа такой запрет должен проверяться по составу запрашиваемых прав доступа и ставиться отметка, что нарушений запрета в правах доступа не выявлено при их отсутствии, а при наличии нарушения – прохождение заявки на получение прав доступа блокироваться ответственным работником до устранения нарушений.

Проверочные процедуры (свидетельства) - Т

Демонстрация (скриншоты) настроек, где видно отсутствие факта совмещения субъектом конфликтных ролей. По возможности — демонстрация невозможности назначения административных ролей, если субъект имеет доступ к бизнес-процедурам.

Демонстрация работы PAM, IdM систем в случае конфликтного назначения ролей.

Проверочные процедуры (свидетельства) - О

Выдержка из внутреннего документа с указанием запрета реализации пользователями бизнес-процессов и технологических процессов финансовой организации с использования учетных записей эксплуатационного персонала, в том числе в АС. Примеры заявок на предоставление или изменение прав доступа, содержащие визу проверки отсутствия нарушения.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

РД.35 (Т-Т-Т)

Запрет выполнения пользователями бизнес-процессов с использованием привилегированных прав логического доступа, в том числе работы пользователей с правами локального администратора АРМ.

Уровень защиты информации 3-Т, 2-Т, 1-Т.

Пояснение

Для пояснения

Реализация - Т

Реализуется с помощью: система контроля действий привилегированных пользователей (PAM), система управления доступом (IDM) Пример реализации PAM-Indeed Privileged Access Manager и IDM-Solar inRights.

Мера может быть реализована через ограничения полномочий средствами доступа АС (например, технологический запрет назначения субъекту роли администратора, если субъект имеет доступ к бизнес-процедурам).

Проверочные процедуры (свидетельства)

Демонстрация (скриншоты) настроек, где видно отсутствие факта совмещения субъектом конфликтных ролей. По возможности — демонстрация невозможности назначения административных ролей, если субъект имеет доступ к бизнес-процедурам.

Демонстрация работы PAM, IdM систем в случае конфликтного назначения ролей.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

РД.36 (Н-Н-Т)

Оповещение субъекта логического доступа после успешной авторизации о дате и времени его предыдущей авторизации в АС.

Уровень защиты информации 3-Н, 2-Н, 1-Т.

Пояснение

Для пояснения

Реализация - Т

Информационное сообщение в АС, запись в журнале действий по авторизации, сообщение на адрес электронной почты или мобильный номер субъекта, содержащие информацию о предыдущей авторизации, содержащее дату и время авторизации. Таковыми оповещениями будут также оповещения о текущей авторизации АС (так как при следующей авторизации они станут сообщениями о предыдущей авторизации).

Проверочные процедуры (свидетельства)

Скриншоты уведомлений об авторизации (записей из журнала, событий почты или уведомлений на мобильный номер).

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Мера не получила распространения по причине того, что разработчиками АС как правило не реализовывался функционал уведомлений об авторизации для работников кредитной организации.

При этом широкое распространение получила реализация уведомлений об авторизации (текущей или предыдущей) для клиентов в системе ДБО. Таким образом меру можно выбрать и указывать как реализуемую частично для субъектов – клиентов кредитной организации.

РД.37 (Н-Т-Т)

Контроль состава разрешенных действий в АС до выполнения идентификации и аутентификации.

Уровень защиты информации 3-Н, 2-Т, 1-Т.

Пояснение

Для пояснения

Реализация - Т

Определение технических процедур для систем, позволяющих клиентам выполнять гостевой вход в системы или выполнять удаленную регистрацию. При этом процедура должна обеспечить техническим способом (с помощью функций ПО) выполнение строго установленного ограниченного набора действий (например, сравнения данных клиента в запросе на регистрацию с данными клиента во внутренней системе кредитной организации). Такой набор действий должен протоколироваться и передаваться в SIEM для проверки.

Другим способом контроля может быть остановка обработки обращения клиента на определенном шаге до вмешательства, проверки данных и последующего разрешения дальнейших действий со стороны работника кредитной организации.

Также данная мера требует запрет гостевого входа на АРМ и серверы во внутренние сегменты сети организации.

Если кредитная организация использует публично доступные рабочие места для клиентов, набор возможных действий на них для клиентов также должен быть ограничен, протоколироваться и передаваться в SIEM для проверки.

Проверочные процедуры (свидетельства)

Скриншоты запрета гостевого доступа.

Скриншоты действий в АС по обработке удаленного гостевого входа или запроса на удаленную аутентификацию.

При наличии публично доступного для клиентов рабочего места – скриншоты ограничений настроек и выдачи прав на определенный ограниченных состав действий.

Скриншоты протоколирования действий из SIEM.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

РД.38 (О-О-О)

Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр.

Уровень защиты информации 3-О, 2-О, 1-О

Реализация - О

Данная мера должна быть регламентирована в документе, определяющем порядок организации рабочего места, размещения информационной инфраструктуры или определяющем порядок доступа к автоматизированным системам.

Проверочные процедуры (свидетельства)

Фото размещения устройств печати и мониторов в помещениях со стороны, доступной посетителям.

Типичные недостатки

Некорректное описание меры. Способы размещения инфраструктуры, исключающие несанкционированный просмотр должны определяться в отношении конфиденциальной информации. При этом должны быть определены не только ограничения физического размещения устройств, но и режимы, при которых на публично доступных для обзора посетителей устройствах вывода информации, должен быть ограничен обзор, если устройство работает в режиме вывода конфиденциальной информации (например, выполняется сервисное обслуживание устройства).

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.