Куда я попал?
ГОСТ Р № 57580.1-2017 от 01.01.2018
Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации
7.2 Процесс 1 Доступ
Для проведения оценки соответствия по документу войдите в систему.
Список требований
-
УЗП.4 Контроль отсутствия незаблокированных учетных записей неопределенного целевого назначения
3-О 2-О 1-ООбязательно для уровня защиты 1 2 3 -
УЗП.5 Документарное определение правил предоставления (отзыва) и блокирования логического доступа
3-Н 2-О 1-ООбязательно для уровня защиты 1 2 -
УЗП.6 Назначение для всех ресурсов доступа распорядителя логического доступа (владельца ресурса доступа)
3-О 2-О 1-ООбязательно для уровня защиты 1 2 3 -
УЗП.7 Предоставление прав логического доступа по решению распорядителя логического доступа (владельца ресурса доступа)
3-О 2-О 1-ООбязательно для уровня защиты 1 2 3 -
УЗП.8 Хранение эталонной информации о предоставленных правах логического доступа и обеспечение целостности указанной информации
3-О 2-Т 1-ТОбязательно для уровня защиты 1 2 3 -
УЗП.9 Контроль соответствия фактических прав логического доступа эталонной информации о предоставленных правах логического доступа
3-О 2-Т 1-ТОбязательно для уровня защиты 1 2 3 -
УЗП.10 Исключение возможного бесконтрольного самостоятельного расширения пользователями предоставленных им прав логического доступа
3-Т 2-Т 1-ТОбязательно для уровня защиты 1 2 3 -
УЗП.12 Контроль необходимости отзыва прав субъектов логического доступа при изменении их должностных обязанностей
3-О 2-О 1-ООбязательно для уровня защиты 1 2 3 -
УЗП.16 Реализация контроля со стороны распорядителя логического доступа целесообразности дальнейшего предоставления прав логического доступа, не использованных субъектами на протяжении периода времени, указанного в мерах УЗП.14, УЗП.15 настоящей таблицы
3-О 2-О 1-ООбязательно для уровня защиты 1 2 3 -
УЗП.17 Реализация возможности определения состава предоставленных прав логического доступа для конкретного ресурса доступа
3-О 2-Т 1-ТОбязательно для уровня защиты 1 2 3 -
УЗП.27 Регистрация событий защиты информации, связанных с действиями, и контроль действий эксплуатационного персонала, обладающего правами по изменению параметров настроек средств и систем защиты информации, параметров настроек АС, связанных с защитой информации
3-Н 2-Т 1-ТОбязательно для уровня защиты 1 2 -
УЗП.29 Закрепление АРМ пользователей и эксплуатационного персонала за конкретными субъектами логического доступа
3-Н 2-О 1-ООбязательно для уровня защиты 1 -
РД.1 Идентификация и однофакторная аутентификация пользователей
3-Т 2-Т 1-НОбязательно для уровня защиты 2 3 -
РД.2 Идентификация и многофакторная аутентификация пользователей
3-Н 2-Н 1-ТОбязательно для уровня защиты 1 -
РД.3 Идентификация и однофакторная аутентификация эксплуатационного персонала
3-Т 2-Н 1-НОбязательно для уровня защиты 3 -
РД.4 Идентификация и многофакторная аутентификация эксплуатационного персонала
3-Н 2-Т 1-ТОбязательно для уровня защиты 1 2 -
РД.5 Аутентификация программных сервисов, осуществляющих логический доступ с использованием технических учетных записей
3-Т 2-Т 1-ТОбязательно для уровня защиты 1 2 3 -
РД.6 Аутентификация АРМ эксплуатационного персонала, используемых для осуществления логического доступа
3-Н 2-Т 1-ТОбязательно для уровня защиты 1 2 -
РД.7 Аутентификация АРМ пользователей, используемых для осуществления логического доступа
3-Н 2-Н 1-ТОбязательно для уровня защиты 1 -
РД.8 Сокрытие (неотображение) паролей при их вводе субъектами доступа
3-Т 2-Т 1-ТОбязательно для уровня защиты 1 2 3 -
РД.15 Выполнение процедуры повторной аутентификации для продолжения осуществления логического доступа после его принудительного или автоматического прерывания (приостановки осуществления логического доступа), предусмотренного мерами РД.13 и РД.14 настоящей таблицы
3-Т 2-Т 1-ТОбязательно для уровня защиты 1 2 3 -
РД.17 Запрет на использование технологии аутентификации с сохранением аутентификационных данных в открытом виде в СВТ
3-Т 2-Т 1-ТОбязательно для уровня защиты 1 2 3 -
РД.19 Смена паролей пользователей не реже одного раза в год
3-Т 2-Т 1-ТОбязательно для уровня защиты 1 2 3 -
РД.20 Смена паролей эксплуатационного персонала не реже одного раза в квартал
3-Т 2-Т 1-ТОбязательно для уровня защиты 1 2 3 -
РД.21 Использование пользователями паролей длиной не менее восьми символов
3-Т 2-Т 1-ТОбязательно для уровня защиты 1 2 3 -
РД.22 Использование эксплуатационным персоналом паролей длиной не менее шестнадцати символов
3-Т 2-Т 1-ТОбязательно для уровня защиты 1 2 3 -
РД.25 Обеспечение возможности самостоятельной смены субъектами логического доступа своих паролей
3-Т 2-Т 1-ТОбязательно для уровня защиты 1 2 3 -
РД.26 Хранение копий аутентификационных данных эксплуатационного персонала на выделенных МНИ или на бумажных носителях
3-О 2-О 1-ООбязательно для уровня защиты 1 2 3 -
РД.29 Смена аутентификационных данных в случае их компрометации
3-О 2-О 1-ООбязательно для уровня защиты 1 2 3 -
РД.30 Авторизация логического доступа к ресурсам доступа, в том числе АС
3-Т 2-Т 1-ТОбязательно для уровня защиты 1 2 3 -
РД.37 Контроль состава разрешенных действий в АС до выполнения идентификации и аутентификации
3-Н 2-Т 1-ТОбязательно для уровня защиты 1 2 -
РД.38 Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр
3-О 2-О 1-ООбязательно для уровня защиты 1 2 3 -
РД.39 Регистрация выполнения субъектами логического доступа ряда неуспешных последовательных попыток аутентификации
3-Н 2-Т 1-ТОбязательно для уровня защиты 1 2 -
РД.40 Регистрация осуществления субъектами логического доступа идентификации и аутентификации
3-Т 2-Т 1-ТОбязательно для уровня защиты 1 2 3 -
РД.42 Регистрация запуска программных сервисов, осуществляющих логический доступ
3-Н 2-Т 1-ТОбязательно для уровня защиты 1 2 -
РД.43 Регистрация изменений аутентификационных данных, используемых для осуществления логического доступа
3-Н 2-Т 1-ТОбязательно для уровня защиты 1 2 -
ФД.1 Документарное определение правил предоставления физического доступа
3-Н 2-О 1-ООбязательно для уровня защиты 1 2 -
ФД.2 Контроль перечня лиц, которым предоставлено право самостоятельного физического доступа в помещения
3-О 2-О 1-ТОбязательно для уровня защиты 1 2 3 -
ФД.3 Контроль самостоятельного физического доступа в помещения для лиц, не являющихся работниками финансовой организации
3-Н 2-О 1-ТОбязательно для уровня защиты 1 2 -
ФД.4 Контроль самостоятельного физического доступа в помещения для технического (вспомогательного) персонала
3-Н 2-О 1-ТОбязательно для уровня защиты 1 2 -
ФД.6 Назначение для всех помещений распорядителя физического доступа
3-О 2-О 1-ООбязательно для уровня защиты 1 2 3 -
ФД.7 Предоставление права самостоятельного физического доступа в помещения по решению распорядителя физического доступа
3-О 2-О 1-ООбязательно для уровня защиты 1 2 3 -
ФД.8 Оборудование входных дверей помещения механическими замками, обеспечивающими надежное закрытие помещений в нерабочее время
3-О 2-О 1-ООбязательно для уровня защиты 1 2 3 -
ФД.9 Оборудование помещений средствами (системами) контроля и управления доступом
3-Н 2-Н 1-ТОбязательно для уровня защиты 1 -
ФД.10 Оборудование помещений средствами видеонаблюдения
3-Н 2-Н 1-ТОбязательно для уровня защиты 1 -
ФД.11 Оборудование помещений средствами охранной и пожарной сигнализации
3-Н 2-Н 1-ТОбязательно для уровня защиты 1 -
ФД.12 Расположение серверного и сетевого оборудования в запираемых серверных стоечных шкафах
3-Н 2-О 1-ООбязательно для уровня защиты 1 2 -
ФД.13 Контроль доступа к серверному и сетевому оборудованию, расположенному в запираемых серверных стоечных шкафах
3-Н 2-О 1-ООбязательно для уровня защиты 1 2 -
ФД.14 Хранение архивов информации средств (систем) контроля и управления доступом не менее трех лет
3-Н 2-Н 1-ТОбязательно для уровня защиты 1 -
ФД.16 Хранение архивов информации средств видеонаблюдения не менее 90 дней
3-Н 2-Н 1-ТОбязательно для уровня защиты 1 -
ФД.17 Регистрация доступа к общедоступным объектам доступа с использованием средств видеонаблюдения
3-Н 2-Т 1-ТОбязательно для уровня защиты 1 2 -
ИУ.1 Учет созданных, используемых и (или) эксплуатируемых ресурсов доступа
3-О 2-Т 1-ТОбязательно для уровня защиты 1 2 3 -
ИУ.2 Учет используемых и (или) эксплуатируемых объектов доступа
3-О 2-О 1-ТОбязательно для уровня защиты 1 2 3 -
ИУ.3 Учет эксплуатируемых общедоступных объектов доступа (в том числе банкоматов, платежных терминалов)
3-О 2-О 1-ТОбязательно для уровня защиты 1 2 3
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.