ЗУД 5-9
Базовый состав мер по защите внутренних вычислительных сетей при осуществлении удаленного доступа.
ЗУД.5 (Т-Т-Т)
Идентификация, двухфакторная аутентификация и авторизация субъектов доступа после установления защищенного сетевого взаимодействия, выполнения аутентификации, предусмотренной мерами ЗУД.2 и ЗУД.4 т.
Уровень защиты информации 3-Т, 2-Т, 1-Т.
Пояснение
Мера направлена на защиты информационных активов организации внутри ЛВС после установления удаленного соединения.
Реализация - Т
Реализация двухфакторной аутентификации осуществляется с использованием:
1. Сетевое оборудование позволяющее настроить многофакторную аутентификацию и модуль второго фактора (КриптоПРО NGate + Ключ Рутокен).
2. Использование АПКШ Континент (в СрЗИ настраивается аутентификация участников обмена с использованием сертификатов на основе ассиметричного шифрования).
3. Использование второго фактора через OTP-пуши на мобильных устройствах, SMS.
Использование второго фактора через приложение (например – Google Authenticator).
Проверочные процедуры (свидетельства)
1. Скриншот настройки сетевого оборудования, обеспечивающего использование двух факторов аутентификации после подключения к защищенному каналу сетевого взаимодействия.
Скриншоты (наблюдение) действий субъекта, осуществляющего аутентификацию с использованием двух факторов аутентификации.
Типичные недостатки
Не выявлены.
Компенсационные меры
Не выявлены.
Выявленные коллизии
Не выявлены.
ЗУД.6 (Н-Т-Т)
Запрет прямого сетевого взаимодействия мобильных (переносных) устройств доступа и внутренних сетей финансовой организации на уровне выше второго (канальный) по семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1.
Уровень защиты информации 3-Н, 2-Т, 1-Т.
Пояснение
Защита от утечки информации при удаленном подключении к инфраструктуре организации.
Реализация - Т
Реализация доступа через промежуточные шлюзы, протоколы и технологии на втором уровне OSI, например, посредством сетевого взаимодействия с использованием технологий VPN, NAC.
Проверочные процедуры (свидетельства)
Схема ЛВС с реализаций удаленного подключения к ресурсам организации с наличием протоколов, туннелей и СрЗИ, реализующих изоляцию сетей на втором уровне OSI.
Типичные недостатки
Не выявлены.
Компенсационные меры
Не выявлены.
Выявленные коллизии
Не выявлены.
ЗУД.7 (Н-Т-Т)
Реализация доступа к ресурсам сети Интернет только через информационную инфраструктуру финансовой организации после установления защищенного сетевого взаимодействия, выполнения аутентификации, предусмотренной мерами ЗУД.2 и ЗУД.4.
Уровень защиты информации 3-Н, 2-Т, 1-Т.
Пояснение
Защита от утечки информации при осуществлении удаленного доступа через локальные точки выхода в Интернет.
Реализация - Т
Для реализации меры должно применяться решение, которое ограничивает сетевое взаимодействие с сетью Интернет с удаленного компьютера после подключение к ресурсам организации только внутри установленного защищенного соединения и не допускает доступ в Интернет вне такого соединения. Примером может быть инкапсуляция трафика в VPN-туннель (применение Checkpoint Vpn в составе решения CheckPoint Endpoint Protection);
Организация доступа в сеть Интернет через только через выделенный сервер после установления защищенного соединения с инфраструктурой организации;
Перенаправление трафика для доступа в сети Интернет через VPN-туннель с использованием настроек маршрутизации в Cisco Annyconnect.
Проверочные процедуры (свидетельства)
1. Схема ЛВС с реализаций удаленного подключения к ресурсам организации с наличием протоколов, туннелей и СрЗИ.
2. Скриншот настроек маршрутизации.
3. Наблюдения аудитора (пример реализации защищенной сети).
Логи на маршрутизаторе (доступ к веб-сайту с удаленного устройства через внутренний маршрутизатор организации).
Типичные недостатки
Не выявлены.
Компенсационные меры
Не выявлены.
Выявленные коллизии
Не выявлены.
ЗУД.8 (Н-Т-Т)
Контентный анализ информации, передаваемой мобильными (переносными) устройствами в сеть Интернет с использованием информационной инфраструктуры финансовой организации.
Уровень защиты информации 3-Н, 2-Т, 1-Т.
Пояснение
Мера направлена на защиту несанкционированного получения информации из внешних источников, противоречащей политики информационной безопасности организации.
Реализация - Т
Мера может быть реализована:
1. DLP- системой.
2. Использование сетевого модуля DLP интегрированного в NGFW (например, Check Point, Palo Alto).
Проверочные процедуры (свидетельства)
Скриншоты с установленными агентами DLP на переносных устройствам о наличии контентного анализа.
Типичные недостатки
Не выявлены.
Компенсационные меры
Не выявлены.
Выявленные коллизии
Не выявлены.
ЗУД.9 (Т-Т-Т)
Реализация и контроль информационного взаимодействия внутренних вычислительных сетей финансовой организации и мобильных (переносных) устройств в соответствии с установленными правилами и протоколами сетевого взаимодействия.
Уровень защиты информации 3-Т, 2-Т, 1-Т.
Пояснение
Мера направлена на защиту неконтролируемого информационного взаимодействия в ЛВС при осуществлении удаленного соединения.
Реализация - Т
Мера реализуется путем настройки соответствующих правил удаленного сетевого взаимодействия на МЭ и в системах, реализующих удаленное подключение.
Проверочные процедуры (свидетельства)
Скриншоты правил и протоколов сетевого взаимодействия из сетевого оборудования и систем, реализующих удаленное подключение.
Типичные недостатки
Не выявлены.
Компенсационные меры
Не выявлены.
Выявленные коллизии
Не выявлены.
Last updated