Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

ГОСТ Р № 57580.1-2017 от 01.01.2018

Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации

ЗУД.4

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
ЗВС.2
ЗВС.2 Реализация защиты информации от раскрытия и модификации, применение двухсторонней аутентификации при ее передаче с использованием сети Интернет, телекоммуникационных каналов и (или) линий связи, не контролируемых финансовой организацией
3-Т 2-Т 1-Т
ЗУД.7
ЗУД.7 Реализация доступа к ресурсам сети Интернет только через информационную инфраструктуру финансовой организации после установления защищенного сетевого взаимодействия, выполнения аутентификации, предусмотренной мерами ЗУД.2 и ЗУД.4 таблицы 45
3-Н 2-Т 1-Т
Приказ Минцифры № 935 от 01.11.2023 "Об утверждении требований к вычислительной мощности, используемой провайдером хостинга, для проведения УГО, осуществляющими ОРД или обеспечение безопасности РФ, в случаях, установленных ФЗ, мероприятий в целях реализации возложенных на них задач ":
п. 4.6
6. При построении ТС ОРМ должны соблюдаться согласованные с уполномоченным государственным органом способы защиты линий (каналов) связи. ТС ОРМ должно соединяться с ПУ по протоколу TLS версии 1.2 или 1.3. При установлении соединения ТС ОРМ должны осуществлять взаимную аутентификацию с ПУ. В случае невозможности аутентифицировать одну из сторон TCP-соединение разрывается. Для аутентификации ТС ОРМ должны использовать сертификаты в формате X.509 согласованные с уполномоченным государственным органом. 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 2.2.7
2.2.7 
Defined Approach Requirements: 
All non-console administrative access is encrypted using strong cryptography. 

Customized Approach Objective:
Cleartext administrative authorization factors cannot be read or intercepted from any network transmissions. 

Applicability Notes:
This includes administrative access via browserbased interfaces and application programming interfaces (APIs). 

Defined Approach Testing Procedures:
  • 2.2.7.a Examine system configuration standards to verify they include encrypting all non-console administrative access using strong cryptography. 
  • 2.2.7.b Observe an administrator log on to system components and examine system configurations to verify that non-console administrative access is managed in accordance with this requirement. 
  • 2.2.7.c Examine settings for system components and authentication services to verify that insecure remote login services are not available for nonconsole administrative access. 
  • 2.2.7.d Examine vendor documentation and interview personnel to verify that strong cryptography for the technology in use is implemented according to industry best practices and/or vendor recommendations. 
rpose:
If non-console (including remote) administration does not use encrypted communications, administrative authorization factors (such as IDs and passwords) can be revealed to an eavesdropper. A malicious individual could use this information to access the network, become administrator, and steal data. 

Good Practice:
Whichever security protocol is used, it should be configured to use only secure versions and configurations to prevent use of an insecure connection—for example, by using only trusted certificates, supporting only strong encryption, and not supporting fallback to weaker, insecure protocols or methods. 

Examples:
Cleartext protocols (such as HTTP, telnet, etc.) do not encrypt traffic or logon details, making it easy for an eavesdropper to intercept this information. Non-console access may be facilitated by technologies that provide alternative access to systems, including but not limited to, out-of-band (OOB), lights-out management (LOM), Intelligent Platform Management Interface (IPMI), and keyboard, video, mouse (KVM) switches with remote capabilities. These and other non-console access technologies and methods must be secured with strong cryptography 

Further Information:
Refer to industry standards and best practices such as NIST SP 800-52 and SP 800-57. 
Requirement 8.4.3
8.4.3
Defined Approach Requirements: 
MFA is implemented for all remote network access originating from outside the entity’s network that could access or impact the CDE as follows: 
  • All remote access by all personnel, both users and administrators, originating from outside the entity’s network.
  • All remote access by third parties and vendors. 
Customized Approach Objective:
Remote access to the entity’s network cannot be obtained by using a single authentication factor. 

Applicability Notes:
The requirement for MFA for remote access originating from outside the entity’s network applies to all user accounts that can access the network remotely, where that remote access leads to or could lead to access into the CDE. 
If remote access is to a part of the entity’s network that is properly segmented from the CDE, such that remote users cannot access or impact the CDE, MFA for remote access to that part of the network is not required. However, MFA is required for any remote access to networks with access to the CDE and is recommended for all remote access to the entity’s networks. 
The MFA requirements apply for all types of system components, including cloud, hosted systems, and on-premises applications, network security devices, workstations, servers, and endpoints, and includes access directly to an entity’s networks or systems as well as web-based access to an application or function. 

Defined Approach Testing Procedures:
  • 8.4.3.a Examine network and/or system configurations for remote access servers and systems to verify MFA is required in accordance with all elements specified in this requirement. 
  • 8.4.3.b Observe personnel (for example, users and administrators) connecting remotely to the network and verify that multi-factor authentication is required. 
Purpose:
Requiring more than one type of authentication factor reduces the probability that an attacker can gain access to a system by masquerading as a legitimate user, because the attacker would need to compromise multiple authentication factors. This is especially true in environments where traditionally the single authentication factor employed was something a user knows, such as a password or passphrase. 

Definitions:
Multi-factor authentication (MFA) requires an individual to present a minimum of two of the three authentication factors specified in Requirement 8.3.1 before access is granted. Using one factor twice (for example, using two separate passwords) is not considered multifactor authentication. 
Guideline for a healthy information system v.2.0 (EN):
32 STANDARD
/STANDARD
In a mobile working situation, it is not uncommon for a user to need to connect to the organization’s information system. Consequently, it is important to ensure this network connection is secure through the Internet. Even if the option of establishing VPN SSL/TLS tunnels is now common, the establishment of a VPN IPsec tunnel between the mobile workstation and a VPN IPsec gateway, provided by the organization, is strongly recommended. 

To guarantee an optimal level of security, this VPN IPsec tunnel must be automatically established and not removable by the user, in other words no flow must be able to be sent outside of this tunnel. 

For specific authentication needs on captive portals, the organization may choose to depart from automatic connection by authorising a connection upon request, or keep this recommendation by encouraging the user to use tethering on a trusted mobile phone.. 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.6.2.2
A.6.2.2  Дистанционная работа 
Мера обеспечения информационной безопасности: Следует определить политику и реализовать поддерживающие меры безопасности для защиты информации, доступ к которой, обработка или хранение осуществляются в местах дистанционной работы 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 8.4.3
8.4.3
Определенные Требования к Подходу:
MFA реализуется для всего удаленного доступа к сети, исходящего из-за пределов сети организации, который может получить доступ к CDE или повлиять на него следующим образом:
  • Весь удаленный доступ для всего персонала, как пользователей, так и администраторов, исходящий из-за пределов сети организации.
  • Весь удаленный доступ третьих сторон и поставщиков.
Цель Индивидуального подхода:
Удаленный доступ к сети объекта не может быть получен с помощью одного фактора аутентификации.

Примечания по применению:
Требование для MFA для удаленного доступа, исходящего из-за пределов сети организации, применяется ко всем учетным записям пользователей, которые могут получать удаленный доступ к сети, если этот удаленный доступ ведет или может привести к доступу к CDE.
Если удаленный доступ осуществляется к части сети организации, которая должным образом сегментирована от CDE, так что удаленные пользователи не могут получить доступ к CDE или повлиять на него, MFA для удаленного доступа к этой части сети не требуется. Однако MFA требуется для любого удаленного доступа к сетям с доступом к CDE и рекомендуется для всего удаленного доступа к сетям организации.
Требования MFA применяются ко всем типам системных компонентов, включая облачные, размещенные системы и локальные приложения, устройства сетевой безопасности, рабочие станции, серверы и конечные точки, и включают прямой доступ к сетям или системам организации, а также веб-доступ к приложению или функции.

Определенные Процедуры Тестирования Подхода:
  • 8.4.3. Требуется проверка сетевых и/или системных конфигураций серверов и систем удаленного доступа для проверки MFA в соответствии со всеми элементами, указанными в этом требовании.
  • 8.4.3.b Наблюдайте за персоналом (например, пользователями и администраторами), удаленно подключающимся к сети, и убедитесь, что требуется многофакторная аутентификация.
Цель:
Требование более одного типа фактора аутентификации снижает вероятность того, что злоумышленник сможет получить доступ к системе, выдавая себя за законного пользователя, поскольку злоумышленнику потребуется скомпрометировать несколько факторов аутентификации. Это особенно верно в средах, где традиционно единственным фактором аутентификации было то, что известно пользователю, например пароль или кодовая фраза.

Определения:
Многофакторная аутентификация (MFA) требует, чтобы пользователь представил минимум два из трех факторов аутентификации, указанных в требовании 8.3.1, прежде чем будет предоставлен доступ. Использование одного фактора дважды (например, использование двух отдельных паролей) не считается многофакторной аутентификацией.
Requirement 2.2.7
2.2.7
Определенные Требования к Подходу:
Весь административный доступ, не связанный с консольным доступом, шифруется с использованием надежной криптографии.

Цель Индивидуального подхода:
Открытые текстовые факторы авторизации администратора не могут быть прочитаны или перехвачены из любых сетевых передач.

Примечания по применению:
Это включает в себя административный доступ через браузерные интерфейсы и интерфейсы прикладного программирования (API).

Определенные Процедуры Тестирования Подхода:
  • 2.2.7.a Изучите стандарты конфигурации системы, чтобы убедиться, что они включают шифрование всего неконсольного административного доступа с использованием надежной криптографии.
  • 2.2.7.b Наблюдайте за входом администратора в системные компоненты и изучайте системные конфигурации, чтобы убедиться, что административный доступ, не связанный с консолью, управляется в соответствии с этим требованием.
  • 2.2.7.c Проверьте настройки системных компонентов и служб аутентификации, чтобы убедиться, что небезопасные службы удаленного входа недоступны для неконсольного административного доступа.
  • 2.2.7.d Изучите документацию поставщика и опросите персонал, чтобы убедиться, что надежная криптография для используемой технологии реализована в соответствии с лучшими отраслевыми практиками и/или рекомендациями поставщика.
Цель:
Если неконсольное (в том числе удаленное) администрирование не использует зашифрованные сообщения, факторы авторизации администратора (такие как идентификаторы и пароли) могут быть раскрыты злоумышленнику. Злоумышленник может использовать эту информацию для доступа к сети, стать администратором и украсть данные.

Надлежащая практика:
Какой бы протокол безопасности ни использовался, он должен быть настроен на использование только безопасных версий и конфигураций, чтобы предотвратить использование небезопасного соединения — например, используя только доверенные сертификаты, поддерживая только надежное шифрование и не поддерживая возврат к более слабым, небезопасным протоколам или методам.

Примеры:
Протоколы открытого текста (такие как HTTP, telnet и т.д.) не шифруют трафик или данные входа в систему, что упрощает перехват этой информации злоумышленником. Неконсольный доступ может быть облегчен с помощью технологий, обеспечивающих альтернативный доступ к системам, включая, но не ограничиваясь этим, внеполосный (OOB), управление отключением света (LOM), Интеллектуальный интерфейс управления платформой (IPMI) и переключатели клавиатуры, видео, мыши (KVM) с удаленными возможностями. Эти и другие технологии и методы, не связанные с консольным доступом, должны быть защищены надежной криптографией

Дополнительная информация:
Обратитесь к отраслевым стандартам и передовой практике, таким как NIST SP 800-52 и SP 800-57.
Strategies to Mitigate Cyber Security Incidents (EN):
2.3.
Multi-factor authentication including for VPNs, RDP, SSH and other remote access, and for all users when they perform a privileged action or access an important (sensitive/high-availability) data repository.
Relative Security Effectiveness:  Essential | Potential User Resistance:  Medium | Upfront Cost:  High | Ongoing Maintenance Cost:  Medium
Положение Банка России № 719-П от 04.06.2020 "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств":
Глава 2 п. 9
2.9. Технологические меры, указанные в пункте 2.8 настоящего Положения, должны обеспечивать реализацию:
  • механизмов идентификации и аутентификации клиента оператора по переводу денежных средств при формировании (подготовке) и при подтверждении им электронных сообщений в соответствии с требованиями законодательства Российской Федерации;
  • механизмов двухфакторной аутентификации клиента оператора по переводу денежных средств при совершении им действий в целях осуществления переводов денежных средств;
  • механизмов и (или) протоколов формирования и обмена электронными сообщениями, обеспечивающих защиту электронных сообщений от искажения, фальсификации, переадресации, несанкционированного ознакомления и (или) уничтожения, ложной авторизации, в том числе аутентификацию входных электронных сообщений;
  • взаимной (двухсторонней) аутентификации участников обмена средствами вычислительной техники операторов по переводу денежных средств, банковских платежных агентов (субагентов), операторов услуг информационного обмена, операторов услуг платежной инфраструктуры, клиентов операторов по переводу денежных средств;
  • возможности использования клиентом оператора по переводу денежных средств независимых программных сред для формирования (подготовки) и подтверждения электронных сообщений;
  • возможности контроля клиентом оператора по переводу денежных средств реквизитов распоряжений о переводе денежных средств при формировании (подготовке) электронных сообщений (пакета электронных сообщений) и их подтверждении;
  • возможности установления временных ограничений на выполнение клиентом оператора по переводу денежных средств подтверждения электронных сообщений;
  • функций передаваемого клиенту оператора по переводу денежных средств программного обеспечения, используемого при осуществлении переводов денежных средств и предназначенного для установки на мобильные устройства клиента оператора по переводу денежных средств, связанных с выявлением модификации мобильного устройства клиента оператора по переводу денежных средств с использованием недекларируемых возможностей, в том числе деактивации (отключения) механизма разграничения доступа (далее - недекларируемая модификация мобильного устройства клиента), а также уведомлением клиента оператора по переводу денежных средств о случаях недекларируемой модификации мобильного устройства клиента с указанием рисков использования такого устройства (при наличии технической возможности).
Методика экспресс-оценки уровня кибербезопасности организации РезБез:
6.3.1.
Разработаны и внедрены сценарные условия удаленного доступа к системам и приложениям организации
6.3.1.2.
Для удаленного доступа к системам и приложениям используется многофакторная аутентификация
Положение Банка России № 808-П от 17.10.2022 "О требованиях к обеспечению защиты информации при осуществлении деятельности в сфере оказания профессиональных услуг на финансовом рынке в целях противодействия осуществлению незаконных финансовых операций":
Глава 2 Пункт 6 Подпункт 1
2.6.1. Технология обработки защищаемой информации, применяемая бюро кредитных историй на всех технологических участках, должна обеспечивать целостность и неизменность защищаемой информации, в том числе путем взаимной (двухсторонней) аутентификации с субъектами взаимодействия средствами вычислительной техники бюро кредитных историй и субъектов взаимодействия.
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ИАФ.6 ИАФ.6 Двусторонняя аутентификация
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ИАФ.6 ИАФ.6 Двусторонняя аутентификация
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
6.2.2
6.2.2 Дистанционная работа

Мера обеспечения ИБ
Должна быть определена политика и реализованы поддерживающие меры безопасности для защиты информации, доступ к которой, обработку или хранение осуществляют в местах дистанционной работы.

Руководство по применению
В организациях, предусматривающих возможность дистанционной работы, должна издаваться политика, определяющая условия и ограничения для дистанционной работы. В тех случаях, когда это применимо и разрешено законом, следует рассмотреть следующие вопросы:
  • a) существующая физическая защита удаленного места работы с учетом физической безопасности здания и местности;
  • b) предлагаемая физическая среда дистанционной работы;
  • c) требования к безопасности связи с учетом необходимости удаленного доступа к внутренним системам организации, чувствительности этих систем, а также с учетом информации ограниченного доступа, к которой будут осуществлять доступ и которую будут передавать по линиям связи;
  • d) предоставление доступа к виртуальному рабочему столу, который предотвращает обработку и хранение информации на личном оборудовании;
  • e) угроза несанкционированного доступа к информации или ресурсам со стороны других лиц, находящихся в этом же помещении, например членов семьи или друзей;
  • f) использование домашних сетей и установление требований или ограничений на конфигурацию сервисов беспроводных сетей;
  • g) политики и процедуры для предотвращения споров, касающихся прав на интеллектуальную собственность, разработанную на личном оборудовании;
  • h) доступ к личному оборудованию (для проверки его безопасности или в ходе расследования) может быть запрещен законодательством;
  • i) лицензионные соглашения на программное обеспечение, в соответствии с которыми организация может нести ответственность за лицензирование клиентского программного обеспечения на личных рабочих станциях работников или внешних пользователей;
  • j) требования к защите от вредоносных программ и межсетевым экранам.

Руководящие принципы и меры, которые следует учитывать, должны включать в себя:
  • a) предоставление подходящего оборудования для дистанционной работы и устройств хранения в тех случаях, когда использование личного оборудования, не находящегося под контролем организации, не допускается;
  • b) определение разрешенных работ, часов работы, категорий информации, которую можно обрабатывать, а также определение внутренних систем и сервисов, к которым разрешен доступ дистанционному работнику;
  • c) предоставление соответствующего коммуникационного оборудования, включая способы обеспечения безопасного удаленного доступа;
  • d) физическую безопасность;
  • e) правила и рекомендации по доступу членов семьи и посетителей к оборудованию и информации;
  • f) предоставление технической и программной поддержки и обслуживания;
  • g) страхование;
  • h) процедуры резервного копирования и обеспечения непрерывности бизнеса;
  • i) аудит и мониторинг безопасности;
  • j) аннулирование полномочий и прав доступа, а также возврат оборудования по окончании дистанционной работы;
  • k) предоставление доступа к корпоративной информации.

Дополнительная информация
К термину "дистанционная работа" относятся все формы работы вне офиса, в том числе нетрадиционная рабочая среда, такая как "работа на дому", "гибкое рабочее место" и "виртуальное рабочее место".

Связанные защитные меры

Ничего не найдено

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.