LogoLogo
  • О Wiki
  • Определения
    • Определения ГОСТ 57580
    • Определения ГОСТ 50922
    • Определения СТО БР
    • Определения Иные
  • Процессы
    • 1-П. Обеспечение защиты информации при управлении доступом
      • УЗП - Управление учетными записями и правами субъектов логического доступа
        • УЗП 1-4
        • УЗП 5-21
        • УЗП 22-29
      • РД - Идентификация, аутентификация, авторизация (разгранич. доступа) при осуществлении лог. доступа
        • РД 1-16
        • РД 17-29
        • РД 30-38
        • РД 39-44
      • ФД - Защита информации при осуществлении физического доступа
        • ФД 1-16
        • ФД 17-20
        • ФД 21
      • ИУ - Идентификация и учет ресурсов и объектов доступа
        • ИУ 1-6
        • ИУ 7-8
    • 2-П. Обеспечение защиты вычислительных сетей
      • СМЭ - Сегментация и межсетевое экранирование вычислительных сетей
        • СМЭ 1-13
        • СМЭ 14-20
        • СМЭ 21
      • ВСА - Выявление вторжений и сетевых атак
        • ВСА 1-13
        • ВСА 14
      • ЗВС - Защита информации, передаваемой по вычислительным сетям
        • ЗВС 1-2
      • ЗБС - Защита беспроводных сетей
        • ЗБС 1-2
        • ЗБС 3-8
        • ЗБС 9-10
    • 3-П. ЦЗИ - Контроль целостности и защищенности информационной инфраструктуры
      • ЦЗИ 1-11
      • ЦЗИ 12-19
      • ЦЗИ 20-26
      • ЦЗИ 27-36
    • 4-П. ЗВК - Защита от вредоносного кода
      • ЗВК 1-7
      • ЗВК 8-21
      • ЗВК 22-28
    • 5-П. ПУИ - Предотвращение утечек информации
      • ПУИ 1-4
      • ПУИ 5-19
      • ПУИ 20-27
      • ПУИ 28-33
    • 6-П. Управление инцидентами защиты информации
      • МАС - Мониторинг и анализ событий защиты информации
        • МАС 1-7
        • МАС 8-16
        • МАС 17-20
        • МАС 21-23
      • РИ - Обнаружение инцидентов защиты информации и реагирование на них
        • РИ 1-5
        • РИ 6-14
        • РИ 15-18
        • РИ 19
    • 7-П. ЗСВ - Защита среды виртуализации
      • ЗСВ 1-12
      • ЗСВ 13-31
      • ЗСВ 32-43
    • 8-П. ЗУД - Защита информации при осуществлении удаленного логического доступа с использованием моб
      • ЗУД 1-4
      • ЗУД 5-9
      • ЗУД 10-12
  • Направления
    • 1-Н. ПЗИ - Планирование процесса системы защиты информации
      • ПЗИ 1 - 5
    • 2-Н. РЗИ - Реализация процесса системы защиты информации
      • РЗИ 1-4
      • РЗИ 5-10
      • РЗИ 11-16
    • 3-Н. КЗИ - Контроль процесса системы защиты информации
      • КЗИ 1 - 8
      • КЗИ 9 - 12
    • 4-Н. СЗИ - Совершенствование процесса системы защиты информации
      • СЗИ 1 - 4
  • Требования
    • ЖЦ - Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложени
      • ЖЦ 1 -11
      • ЖЦ 12 -14
      • ЖЦ 15 - 25
      • ЖЦ 26 - 28
  • Приложения
    • Б. Состав и содержание организационных мер, связанных с обработкой финансовой организацией ПДн
    • В. Перечень событий защиты информации
Powered by GitBook
On this page
  • УЗП.22 (Н-Т-Т)
  • УЗП.23 (Т-Т-Т)
  • УЗП.24 (Т-Т-Т)
  • УЗП.25 (Т-Т-Т)
  • УЗП.26 (Н-Т-Т)
  • УЗП.27 (Н-Т-Т)
  • УЗП.28 (Т-Т-Т)
  • УЗП.29 (Н-Н-О)
  1. Процессы
  2. 1-П. Обеспечение защиты информации при управлении доступом
  3. УЗП - Управление учетными записями и правами субъектов логического доступа

УЗП 22-29

Базовый состав мер по регистрации событий защиты информации и контролю использования предоставленных прав логического доступа применительно к уровням защиты информации

УЗП.22 (Н-Т-Т)

Использование эксплуатационным персоналом паролей длиной не менее шестнадцати символов.

Уровень защиты информации 3-Т, 2-Т, 1-Т.

Регистрация событий защиты информации, связанных с действиями, и контроль действий эксплуатационного персонала, обладающего привилегированными правами логического доступа, позволяющими осуществить деструктивное воздействие, приводящие к нарушению выполнения бизнес-процессов или технологических процессов финансовой организации.

Уровень защиты информации: 3-Н, 2-Т, 1-Т.

Пояснение

Данное требование конкретно направлено на административный персонал, который имеет возможность конфигурирования АС и систем, отвечающих за основные бизнес и технологические процессы.

Требование находится в таблице «Базовый состав мер по регистрации событий защиты информации и контролю использования предоставленных прав логического доступа», что говорит о необходимости пересылки таких событий ЗИ в SIEM или иную систему, обеспечивающую централизованный сбор и анализ событий ЗИ в соответствии с мерами МАС.1 и МАС.8.

Реализация - Т

Фактической реализацией такого требования может стать настройка журналов событий АС и иных ресурсов доступа, которые являются критически важными для финансовой организации со стороны бизнес и технологических процессов.

По сути, для правильной настройки регистрации событий ЗИ в журналах АС и систем, обеспечивающих сбор событий, стоит отталкиваться от роли администратора и его возможностей.

К регистрируемым событиям, свидетельствующим о возможном деструктивном воздействии, могут быть отнесены события:

1. Отключение базы данных систем (удаление, unmount);

2. Событие изменения структур баз данных или изменения процедур;

3. Событие изменения схемы полномочий встроенных учетных записей СУБД;

4. Изменение конфигурации системы;

5. Отключение сервисных учетных записей систем;

6. Попытка остановки виртуальной машины или событие миграции виртуальной машины;

7. События ОС.

Проверочные процедуры (свидетельства)

Выгрузка журналов событий (скриншот), действий администраторов, с каждого ресурса доступа контура безопасности финансовой организации, в рамках которого обеспечивается обработка защищаемой информации, в соответствии с Положениями Банка России.

Рекомендованные к рассмотрению ресурсы доступа:

Выгрузка журналов событий с системы централизованного сбора событий защиты информации (SIEM системы).

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

УЗП.23 (Т-Т-Т)

Регистрация событий защиты информации, связанных с действиями, и контроль действий эксплуатационного персонала и пользователей, обладающих правами логического доступа, в том числе в АС, позволяющими осуществить операции (транзакции), приводящие к финансовым последствиям для финансовой организации, клиентов и контрагентов.

Уровень защиты информации: 3-Т, 2-Т, 1-Т.

Пояснение

Важно отметить, что требование находится в таблице «Базовый состав мер по регистрации событий защиты информации и контролю использования предоставленных прав логического доступа», что говорит о необходимости пересылки таких событий ЗИ в SIEM или иную систему, обеспечивающую централизованный сбор и анализ событий ЗИ.

Реализация - Т

В составе ресурсов доступа меры следует рассматривать АС, сетевые сервисы и приложения, эксплуатация которых позволяет осуществить операции (транзакции), приводящие к финансовым последствиям.

Для реализации меры необходимо настроить регистрацию событий, связанных с осуществлением транзакций.

В составе событий, формирующихся в результате действий, имеющих финансовые последствия, рекомендуется рассматривать:

1. Формирование, подписание платежных сообщений;

2. Переход в платежного поручения в состояние «документ исполнен» в системе АБС (при этом в данном случае стоит регистрировать события регистрации сообщений «технического характера», по результатам которых состояние платежного документа переходит в статус «документ исполнен».

Для контроля таких событий в организации может использоваться специально выделенная система проверки транзакций.

В качестве реализации контроля действий персонала можно применять подход, когда контроль обеспечивается средствами самой банковской системы (двойной ввод, прохождение стадии контроля для проверки контролирующим работником, не обладающим правами внесения изменений в документ).

Проверочные процедуры (свидетельства)

Выгрузка журналов событий (скриншот АС «АБС», «ДБО» и иных систем, которые участвуют в финансовых операциях), действий администраторов, с каждого ресурса доступа контура безопасности финансовой организации, в рамках которого обеспечивается обработка защищаемой информации, в соответствии с Положениями Банка России.

Выгрузка журналов событий с системы централизованного сбора событий защиты информации (SIEM системы).

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

В случае принятия решения о пересылки событий в SIEM для большинства кредитных организаций реализация данного требования является по сути дублированием переноса событий изменения статуса транзакций, что создаст большой объем данных, из-за объема событий осуществлять качественно контроль будет невозможно

УЗП.24 (Т-Т-Т)

Регистрация событий защиты информации, связанных с действиями, и контроль действий эксплуатационного персонала, обладающего правами по управлению логическим доступом.

Уровень защиты информации: 3-Т, 2-Т, 1-Т.

Пояснение

Данное требование конкретно направлено на администратора ИБ, который имеет возможность управления логическим доступом пользователей ресурса доступа/АС.

Важно отметить, что требование находится в таблице «Базовый состав мер по регистрации событий защиты информации и контролю использования предоставленных прав логического доступа», что говорит о необходимости пересылки таких событий ЗИ в SIEM или иную систему, обеспечивающую централизованный сбор и анализ событий ЗИ.

Реализация - Т

Фактическое реализацией такого требования может стать настройка журналов событий ресурсов доступа.

В составе регистрируемых событий должны быть события создания учетной записи, назначения полномочий, изменения полномочий, удаления учетной записи, блокирования и разблокирования доступа для учетной записи.

Рекомендуемы к регистрации события управления логическим доступом:

1. Изменение права доступа на Read (чтение);

2. Изменение права доступа Read & Write (чтение и запись);

3. Изменение права доступа Modify (изменение);

4. Изменение права доступа Read & Execute (чтение и выполнение);

5. Изменение права доступа Full access (полный доступ);

6. Регистрация учетной записи;

7. Удаление учетной записи;

8. Блокирование учетной записи.

Для реализации контроля события должны перенаправляться в централизованную систему (SIEM), использующуюся для контроля событий ИБ.

Проверочные процедуры (свидетельства)

Выгрузка журналов событий (скриншоты), действий администраторов по управлению правами доступа, с каждого ресурса доступа.

Для всех АС (АБС, ДБО иных систем, которые связаны с AD, СУБД, Vcenter, HyperV, Vmware, Proxmox).

Выгрузка журналов событий управления правами доступа с системы централизованного сбора событий защиты информации (SIEM системы).

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

УЗП.25 (Т-Т-Т)

Регистрация событий защиты информации, связанных с действиями по управлению учетными записями и правами субъектов логического доступа.

Уровень защиты информации: 3-Т, 2-Т, 1-Т.

Пояснение

Настоящее требование расширяет границу требования УЗП.24 и говорит о контроле управления УЗ (создание, удаление, блокирование) и прав (предоставление, отзыв) для всех участников логического доступа (т. е. и администраторов, и пользователей и администраторов ИБ и даже пользователей сторонних организаций, например аудиторов ИБ).

Рекомендуется использование единой системы входа для всех пользователей, которая будет хранить в себе таким событий и/или использование системы централизованного сбора таких событий из разных источников (ресурсов доступа).

Реализация - Т

Фактическое реализацией такого требования может стать настройка журналов событий ресурсов доступа.

Для каждого ресурса доступа в организации необходим обеспечить журналирование процедур управления учетными записями и процессов предоставления/отзывов прав доступа.

В качестве основных систем стоит рассматривать:

1. АБС и ДБО системы;

2. Файловые сервера хранения данных (файловые шары);

3. Иные критичные системы, например, Active Directory, системы управления виртуальными машинами и т. д.

В качестве примеров событий, которые необходимо регистрировать стоит рассматривать:

1.Создание/удаление/блокирование/разблокирование учетных записей пользователей ресурса доступа (в том числе УЗ администраторов ИТ и ИБ);

2.События изменения прав логического доступа, например – предоставление/отзыв прав (в том числе УЗ администраторов ИТ и ИБ).

Выгрузка журналов событий с системы централизованного сбора событий защиты информации (SIEM системы), выгрузка соответствующих событий из IDM/IAM системы.

Проверочные процедуры (свидетельства)

Выгрузка журналов событий (скриншот), действий администраторов, с каждого ресурса доступа контура безопасности финансовой организации, в рамках которого обеспечивается обработка защищаемой информации, в соответствии с Положениями Банка России.

Выгрузка журналов событий с системы централизованного сбора событий защиты информации (SIEM системы), выгрузка соответствующих событий из IDM/IAM системы.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

УЗП.26 (Н-Т-Т)

Регистрация событий защиты информации, связанных с действиями, и контроль действий эксплуатационного персонала, обладающего правами по управлению техническими мерами, реализующими многофакторную аутентификацию.

Уровень защиты информации: 3-Н, 2-Т, 1-Т.

Пояснение

Важно отметить, что требование находится в таблице «Базовый состав мер по регистрации событий защиты информации и контролю использования предоставленных прав логического доступа», что говорит о необходимости пересылки таких событий ЗИ в SIEM или иную систему, обеспечивающую централизованный сбор и анализ событий ЗИ.

Реализация - Т

Фактическое реализацией такого требования может стать настройка логирования событий СЗИ, которые обеспечивают реализацию процедуры многофакторной аутентификации.

Например, реализация такого требования возможна путем регистрации соответствующих событий на используемом VPN-сервере, где пользователей получает доступ после ввода OTP-кода, формирование QR-кода, отзыв/выпуск сертификатов, процесс «связывания» (регистрация) токена с учетной записью в AD, любо другой системы, которая не связана с AD.

В качестве основных систем стоит рассматривать:

1. VPN-сервер;

2. Отдельные сервисы (например, «Multifactor»);

3. IAM-системы.

Для реализации контроля события должны перенаправляться в централизованную систему (SIEM), использующуюся для контроля событий ИБ.

Проверочные процедуры (свидетельства)

Выгрузка (скриншоты) событий выпуска новых токенов, сертификатов, qr-кодов и иных методов многофакторной аутентификации, которые используются для логического доступа к ресурсам доступа Организации.

Выгрузка журналов событий с системы централизованного сбора событий защиты информации (SIEM системы), выгрузка соответствующих событий из IDM/IAM системы.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

УЗП.27 (Н-Т-Т)

Регистрация событий защиты информации, связанных с действиями, и контроль действий эксплуатационного персонала, обладающего правами по изменению параметров настроек средств и систем защиты информации, параметров настроек АС, связанных с защитой информации.

Уровень защиты информации: 3-Н, 2-Т, 1-Т.

Пояснение

Важно отметить, что требование находится в таблице «Базовый состав мер по регистрации событий защиты информации и контролю использования предоставленных прав логического доступа», что говорит о необходимости пересылки таких событий ЗИ в SIEM или иную систему, обеспечивающую централизованный сбор и анализ событий ЗИ.

Реализация - Т

Реализация данного требования подразумевает настройку регистрации событий изменения конфигураций СЗИ и подсистемы защиты АС, которые выполняют требования, зафиксированные в Таблице 2 ГОСТ Р 57580.1–2017 (например, изменение настроек журналирования системы).

В качестве основных средств и системы защиты стоит рассматривать не только СЗИ, которые закуплены и эксплуатируются в Организации, но подсистемы защиты ИБ отдельных систем, в рамках которых, например, производится идентификации, аутентификации и авторизация пользователей (AD, подсистемы АБС и ДБО и т. д.).

Для реализации контроля события должны перенаправляться в централизованную систему (SIEM), использующуюся для контроля событий ИБ.

Проверочные процедуры (свидетельства)

Выгрузка журналов событий (скриншот), действий администраторов, связанных с настройкой (конфигурированием) параметров, АС контура безопасности финансовой организации, в рамках которой обеспечивается обработка защищаемой информации, в соответствии с Положениями Банка России.

Выгрузка журналов событий с системы централизованного сбора событий защиты информации (SIEM системы), выгрузка соответствующих событий из IDM/IAM системы.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

УЗП.28 (Т-Т-Т)

Регистрация событий защиты информации, связанных с действиями, и контроль действий эксплуатационного персонала, обладающего правами по управлению криптографическими ключами.

Уровень защиты информации: 3-Т, 2-Т, 1-Т.

Пояснение

Реализация - Т

При фактической реализации требования необходимо, чтобы используемая система, для управления криптографическими ключами как минимум умела регистрировать следующие события:

1. Генерация ключей;

2. Установка ключей.

3. Замена ключей;

4. Архивирование ключей;

5. Уничтожение ключей;

6. Восстановление ключей (если применимо);

7. Отмена ключей (в случае компрометации).

Для реализации контроля события должны перенаправляться в централизованную систему (SIEM), использующуюся для контроля событий ИБ.

Подробнее см.:

Проверочные процедуры (свидетельства)

Выгрузка журналов событий (скриншот), действий администраторов, связанных с использованием криптографических ключей.

Выгрузка журналов событий с системы централизованного сбора событий защиты информации (SIEM системы), выгрузка соответствующих событий из IDM/IAM системы.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Передача в SIEM событий управления криптографическими ключами возможна, если СКЗИ регистрирует такие события в стандартном текстовом формате или в составе событий журналов ОС.

УЗП.29 (Н-Н-О)

Закрепление АРМ пользователей и эксплуатационного персонала за конкретными субъектами логического доступа.

Уровень защиты информации: 3-Н, 2-Н, 1-О.

Пояснение

Данная мера требует, чтобы в любой момент времени физическое рабочее место было документально связано с конкретным работником (или несколькими).

Мера не требует, чтобы АРМ был закреплен только за одним субъектом, допускается закрепление АРМ за несколькими субъектами (такая ситуация, например, нужна для ротации работников филиалов или замещения при болезни, отпуске).

Реализация - О

Данная мера должна быть регламентирована в "Политике управления доступом", должен быть определен порядок, по которому АРМ пользователей и эксплуатационного персонала закрепляются за конкретными субъектами логического доступа, установлен порядок перезакрепления, проверки и снятия закрепления.

Проверочные процедуры (свидетельства)

Реестр закрепления АРМ персонала за конкретными субъектами логического доступа. Реестр может быть приложением к приказу или в электронном виде.

Если в организации должности имеют уникальное наименование (по наименованию должности можно однозначно установить работника, занимающего в момент времени должность), то допускается формировать привязку должности к конкретному АРМ.

АРМ является объектом физического доступа, отсюда, в мере не идет речь о виртуальных рабочих местах Virtual Desktop Infrastructure.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

PreviousУЗП 5-21NextРД - Идентификация, аутентификация, авторизация (разгранич. доступа) при осуществлении лог. доступа

Last updated 9 months ago

LogoУправление ключамиWikipedia