# РД 39-44

## РД.39 (Н-Т-Т)

> Регистрация выполнения субъектами логического доступа ряда неуспешных последовательных попыток аутентификации.
>
> Уровень защиты информации 3-Н, 2-Т, 1-Т.

#### Пояснение

Для пояснения

<details>

<summary>Пояснение</summary>

Для пояснения

</details>

#### Реализация - Т

Настройка журналов событий систем финансовой организации, которые входят в контур безопасности, в которых фиксируется ряд неуспешных последовательных попыток аутентификации субъектов доступа.

Под субъектами логического доступа стоит понимать следующие:

\- пользователи;

\- эксплуатационный персонал;

\- программные сервисы.

#### Проверочные процедуры (свидетельства)

Скриншоты журналов событий ОС, АС и иных систем финансовой организации, которые подтверждают, что при ряде неуспешных последовательных попыток аутентификации производится журналирование таких событий.

#### Типичные недостатки

Не выявлены.

#### Компенсационные меры

Не выявлены.

#### Выявленные коллизии

Не выявлены.

## РД.40 (Т-Т-Т)

> Регистрация осуществления субъектами логического доступа идентификации и аутентификации.
>
> Уровень защиты информации 3-Т, 2-Т, 1-Т.

#### Пояснение

Для пояснения

<details>

<summary>Пояснение</summary>

Для пояснения

</details>

#### Реализация - Т

Настройка журналирования событий для ОС, АС и сервисов, СУБД, которые используются в контуре безопасности таким образом, чтобы в журналах событий присутствовали события идентификации и аутентификации субъектов доступа.

Идентификация — присвоение для осуществления логического доступа субъекту (объекту) доступа уникального признака (идентификатора); сравнение при осуществлении логического доступа предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов.

Аутентификация — проверка при осуществлении логического доступа принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности).

#### Проверочные процедуры (свидетельства)

Выгрузка журналов событий защиты информации систем и сервисов, в которые субъекты доступа осуществляют логический доступ.

Выгрузка журналов событий зашиты информации баз данных систем, в рамках которых производится сравнение идентификатора субъекта доступа и подтверждение его подлинности.

#### Типичные недостатки

Не выявлены.

#### Компенсационные меры

Не выявлены.

#### Выявленные коллизии

Не выявлены.

## РД.41 (Т-Т-Т)

> Регистрация авторизации, завершения и (или) прерывания (приостановки) осуществления эксплуатационным персоналом и пользователями логического доступа, в том числе в АС.
>
> Уровень защиты информации 3-Т, 2-Т, 1-Т.

#### Пояснение

Для пояснения

<details>

<summary>Пояснение</summary>

Для пояснения

</details>

#### Реализация - Т

Настройки журналирования событий защиты информации для ОС, АС, сервисов и СУБД, а также иных ресурсов доступа, которые используются в контуре безопасности таким образом, чтобы в журналах событий присутствовали события авторизации субъекта доступа, события приостановления авторизации, события завершения авторизации.

Авторизация – проверка, подтверждение и предоставление прав логического доступа при осуществлении субъектами доступа логического доступа.

#### Проверочные процедуры (свидетельства)

Выгрузка журналов событий защиты информации систем и сервисов, в которые субъекты доступа осуществляют логический доступ.

Выгрузка журналов событий защиты информации баз данных систем, в рамках которых производится процедура предоставления прав логического доступа.

В части реализации требования в системе Active Directory – стоит запрашивать специальные события входа, подробнее см. следующую ссылку (в том числе события прерывания доступа):

{% embed url="<https://learn.microsoft.com/ru-ru/windows/security/threat-protection/auditing/basic-audit-account-logon-events>" %}

#### Типичные недостатки

Не выявлены.

#### Компенсационные меры

Не выявлены.

#### Выявленные коллизии

Не выявлены.

## РД.42 (Н-Т-Т)

> Регистрация запуска программных сервисов, осуществляющих логический доступ.
>
> Уровень защиты информации 3-Н, 2-Т, 1-Т.

#### Пояснение

Для пояснения

<details>

<summary>Пояснение</summary>

Для пояснения

</details>

#### Реализация - Т

Настройки журналирования событий защиты информации для ОС, АС, сервисов таким образом, чтобы в журналах событий присутствовали события запуска программных сервисов, осуществляющих логический доступ (то есть запуска сервисов, для аутентификации которых используются технологические учетные записи и не осуществляется интерактивный вход).

#### Проверочные процедуры (свидетельства)

Выгрузка журналов событий защиты информации систем и сервисов, где зафиксированы события запуска и аутентификации программного сервиса с помощью технологической учетной записи.

Выгрузка журналов событий зашиты информации баз данных систем, систем и сервисов, в рамках которых производится процедура предоставления прав логического доступа.

#### Типичные недостатки

Не выявлены.

#### Компенсационные меры

Не выявлены.

#### Выявленные коллизии

Не выявлены.

## РД.43 (Н-Т-Т)

> Регистрация изменений аутентификационных данных, используемых для осуществления логического доступа.
>
> Уровень защиты информации 3-Н, 2-Т, 1-Т.

#### Пояснение

Для пояснения

<details>

<summary>Пояснение</summary>

Под субъектами логического доступа стоит понимать следующие:

\- пользователи;

\- эксплуатационный персонал;

\- технический (вспомогательный) персонал;

\- программные сервисы.

</details>

#### Реализация - Т

Необходимо настроить журналы событий таким образом, чтобы для всех ресурсов доступа, к которым субъекты доступа осуществляют логический доступ, обеспечивалась процедура регистрации изменения их аутентификационных данных, которые используются для входа.

#### Проверочные процедуры (свидетельства)

Выгрузка журналов событий с АС, сервисов и иных ресурсов доступа, входящих в контур безопасности.

На скриншоте должны быть четко отражены события по изменению аутентификационных данных всех субъектов доступа.

#### Типичные недостатки

Не выявлены.

#### Компенсационные меры

Не выявлены.

#### Выявленные коллизии

Не выявлены.

## РД.44 (Н-О-О)

> Регистрация действий пользователей и эксплуатационного персонала, предусмотренных в случае компрометации их аутентификационных данных.
>
> Уровень защиты информации 3-Н, 2-О, 1-О

<details>

<summary>Пояснение</summary>

При любом способе обращения субъекта доступа должны быть обеспечены фиксация и хранение информации, кто обратился в некое конкретное время, кем и когда его обращение было принято, кем, когда и с каким результатом оно отработано.

</details>

#### Реализация - О

Данная мера должна быть регламентирована в "Политике управления доступом" и документе, определяющем процедуры обслуживания систем дистанционного обслуживания, должен быть определен порядок регистрации действий в случае обращения субъектов доступа в случае компрометации их аутентификационных данных.

#### Проверочные процедуры (свидетельства)

Набор свидетельств о фактах обращения субъектов (задачи, письма, заявления, записи звонков, скриншоты из социальных сетей и пр.) и свидетельства результатов отработки (цепочка процедур в задаче по смене аутентификационных данных, карточка инцидента, журналы регистрации систем).

#### Типичные недостатки

Не выявлены.

#### Компенсационные меры

Не выявлены.

#### Выявленные коллизии

Не выявлены.