LogoLogo
  • О Wiki
  • Определения
    • Определения ГОСТ 57580
    • Определения ГОСТ 50922
    • Определения СТО БР
    • Определения Иные
  • Процессы
    • 1-П. Обеспечение защиты информации при управлении доступом
      • УЗП - Управление учетными записями и правами субъектов логического доступа
        • УЗП 1-4
        • УЗП 5-21
        • УЗП 22-29
      • РД - Идентификация, аутентификация, авторизация (разгранич. доступа) при осуществлении лог. доступа
        • РД 1-16
        • РД 17-29
        • РД 30-38
        • РД 39-44
      • ФД - Защита информации при осуществлении физического доступа
        • ФД 1-16
        • ФД 17-20
        • ФД 21
      • ИУ - Идентификация и учет ресурсов и объектов доступа
        • ИУ 1-6
        • ИУ 7-8
    • 2-П. Обеспечение защиты вычислительных сетей
      • СМЭ - Сегментация и межсетевое экранирование вычислительных сетей
        • СМЭ 1-13
        • СМЭ 14-20
        • СМЭ 21
      • ВСА - Выявление вторжений и сетевых атак
        • ВСА 1-13
        • ВСА 14
      • ЗВС - Защита информации, передаваемой по вычислительным сетям
        • ЗВС 1-2
      • ЗБС - Защита беспроводных сетей
        • ЗБС 1-2
        • ЗБС 3-8
        • ЗБС 9-10
    • 3-П. ЦЗИ - Контроль целостности и защищенности информационной инфраструктуры
      • ЦЗИ 1-11
      • ЦЗИ 12-19
      • ЦЗИ 20-26
      • ЦЗИ 27-36
    • 4-П. ЗВК - Защита от вредоносного кода
      • ЗВК 1-7
      • ЗВК 8-21
      • ЗВК 22-28
    • 5-П. ПУИ - Предотвращение утечек информации
      • ПУИ 1-4
      • ПУИ 5-19
      • ПУИ 20-27
      • ПУИ 28-33
    • 6-П. Управление инцидентами защиты информации
      • МАС - Мониторинг и анализ событий защиты информации
        • МАС 1-7
        • МАС 8-16
        • МАС 17-20
        • МАС 21-23
      • РИ - Обнаружение инцидентов защиты информации и реагирование на них
        • РИ 1-5
        • РИ 6-14
        • РИ 15-18
        • РИ 19
    • 7-П. ЗСВ - Защита среды виртуализации
      • ЗСВ 1-12
      • ЗСВ 13-31
      • ЗСВ 32-43
    • 8-П. ЗУД - Защита информации при осуществлении удаленного логического доступа с использованием моб
      • ЗУД 1-4
      • ЗУД 5-9
      • ЗУД 10-12
  • Направления
    • 1-Н. ПЗИ - Планирование процесса системы защиты информации
      • ПЗИ 1 - 5
    • 2-Н. РЗИ - Реализация процесса системы защиты информации
      • РЗИ 1-4
      • РЗИ 5-10
      • РЗИ 11-16
    • 3-Н. КЗИ - Контроль процесса системы защиты информации
      • КЗИ 1 - 8
      • КЗИ 9 - 12
    • 4-Н. СЗИ - Совершенствование процесса системы защиты информации
      • СЗИ 1 - 4
  • Требования
    • ЖЦ - Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложени
      • ЖЦ 1 -11
      • ЖЦ 12 -14
      • ЖЦ 15 - 25
      • ЖЦ 26 - 28
  • Приложения
    • Б. Состав и содержание организационных мер, связанных с обработкой финансовой организацией ПДн
    • В. Перечень событий защиты информации
Powered by GitBook
On this page
  • ЗУД.5 (Т-Т-Т)
  • ЗУД.6 (Н-Т-Т)
  • ЗУД.7 (Н-Т-Т)
  • ЗУД.8 (Н-Т-Т)
  • ЗУД.9 (Т-Т-Т)
  1. Процессы
  2. 8-П. ЗУД - Защита информации при осуществлении удаленного логического доступа с использованием моб

ЗУД 5-9

Базовый состав мер по защите внутренних вычислительных сетей при осуществлении удаленного доступа.

ЗУД.5 (Т-Т-Т)

Идентификация, двухфакторная аутентификация и авторизация субъектов доступа после установления защищенного сетевого взаимодействия, выполнения аутентификации, предусмотренной мерами ЗУД.2 и ЗУД.4 т.

Уровень защиты информации 3-Т, 2-Т, 1-Т.

Пояснение

Мера направлена на защиты информационных активов организации внутри ЛВС после установления удаленного соединения.

Реализация - Т

Реализация двухфакторной аутентификации осуществляется с использованием:

1. Сетевое оборудование позволяющее настроить многофакторную аутентификацию и модуль второго фактора (КриптоПРО NGate + Ключ Рутокен).

2. Использование АПКШ Континент (в СрЗИ настраивается аутентификация участников обмена с использованием сертификатов на основе ассиметричного шифрования).

3. Использование второго фактора через OTP-пуши на мобильных устройствах, SMS.

Использование второго фактора через приложение (например – Google Authenticator).

Проверочные процедуры (свидетельства)

1. Скриншот настройки сетевого оборудования, обеспечивающего использование двух факторов аутентификации после подключения к защищенному каналу сетевого взаимодействия.

  1. Скриншоты (наблюдение) действий субъекта, осуществляющего аутентификацию с использованием двух факторов аутентификации.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЗУД.6 (Н-Т-Т)

Запрет прямого сетевого взаимодействия мобильных (переносных) устройств доступа и внутренних сетей финансовой организации на уровне выше второго (канальный) по семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1.

Уровень защиты информации 3-Н, 2-Т, 1-Т.

Пояснение

Защита от утечки информации при удаленном подключении к инфраструктуре организации.

Реализация - Т

Реализация доступа через промежуточные шлюзы, протоколы и технологии на втором уровне OSI, например, посредством сетевого взаимодействия с использованием технологий VPN, NAC.

Проверочные процедуры (свидетельства)

  1. Схема ЛВС с реализаций удаленного подключения к ресурсам организации с наличием протоколов, туннелей и СрЗИ, реализующих изоляцию сетей на втором уровне OSI.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЗУД.7 (Н-Т-Т)

Реализация доступа к ресурсам сети Интернет только через информационную инфраструктуру финансовой организации после установления защищенного сетевого взаимодействия, выполнения аутентификации, предусмотренной мерами ЗУД.2 и ЗУД.4.

Уровень защиты информации 3-Н, 2-Т, 1-Т.

Пояснение

Защита от утечки информации при осуществлении удаленного доступа через локальные точки выхода в Интернет.

Реализация - Т

Для реализации меры должно применяться решение, которое ограничивает сетевое взаимодействие с сетью Интернет с удаленного компьютера после подключение к ресурсам организации только внутри установленного защищенного соединения и не допускает доступ в Интернет вне такого соединения. Примером может быть инкапсуляция трафика в VPN-туннель (применение Checkpoint Vpn в составе решения CheckPoint Endpoint Protection);

Организация доступа в сеть Интернет через только через выделенный сервер после установления защищенного соединения с инфраструктурой организации;

Перенаправление трафика для доступа в сети Интернет через VPN-туннель с использованием настроек маршрутизации в Cisco Annyconnect.

Проверочные процедуры (свидетельства)

1. Схема ЛВС с реализаций удаленного подключения к ресурсам организации с наличием протоколов, туннелей и СрЗИ.

2. Скриншот настроек маршрутизации.

3. Наблюдения аудитора (пример реализации защищенной сети).

  1. Логи на маршрутизаторе (доступ к веб-сайту с удаленного устройства через внутренний маршрутизатор организации).

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЗУД.8 (Н-Т-Т)

Контентный анализ информации, передаваемой мобильными (переносными) устройствами в сеть Интернет с использованием информационной инфраструктуры финансовой организации.

Уровень защиты информации 3-Н, 2-Т, 1-Т.

Пояснение

Мера направлена на защиту несанкционированного получения информации из внешних источников, противоречащей политики информационной безопасности организации.

Реализация - Т

Мера может быть реализована:

1. DLP- системой.

2. Использование сетевого модуля DLP интегрированного в NGFW (например, Check Point, Palo Alto).

Проверочные процедуры (свидетельства)

  1. Скриншоты с установленными агентами DLP на переносных устройствам о наличии контентного анализа.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЗУД.9 (Т-Т-Т)

Реализация и контроль информационного взаимодействия внутренних вычислительных сетей финансовой организации и мобильных (переносных) устройств в соответствии с установленными правилами и протоколами сетевого взаимодействия.

Уровень защиты информации 3-Т, 2-Т, 1-Т.

Пояснение

Мера направлена на защиту неконтролируемого информационного взаимодействия в ЛВС при осуществлении удаленного соединения.

Реализация - Т

Мера реализуется путем настройки соответствующих правил удаленного сетевого взаимодействия на МЭ и в системах, реализующих удаленное подключение.

Проверочные процедуры (свидетельства)

  1. Скриншоты правил и протоколов сетевого взаимодействия из сетевого оборудования и систем, реализующих удаленное подключение.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

PreviousЗУД 1-4NextЗУД 10-12

Last updated 10 months ago