Куда я попал?
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022
Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A
А.6.7
Для проведения оценки соответствия по документу войдите в систему.
Похожие требования
Положение Банка России № 787-П от 12.01.2022 "Обязательные для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг":
п. 7
7. Кредитные организации должны обеспечить нейтрализацию информационных угроз в отношении возникновения зависимости обеспечения операционной надежности от субъектов доступа, являющихся работниками кредитной организации, обладающими уникальными знаниями, опытом и компетенцией в области разработки технологических процессов, поддержания их выполнения, реализации технологических процессов, которые отсутствуют у иных работников указанной кредитной организации.
Кредитные организации должны обеспечить защиту критичной архитектуры от возможной реализации информационных угроз в условиях дистанционной (удаленной) работы работников кредитной организации.
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
ЗУД.1
ЗУД.1 Определение правил удаленного доступа и перечня ресурсов доступа, к которым предоставляется удаленный доступ
3-О 2-О 1-О
3-О 2-О 1-О
ЗУД.3
ЗУД.3 Предоставление удаленного доступа только с использованием мобильных (переносных) устройств доступа, находящихся под контролем системы централизованного управления и мониторинга (системы Mobile Device Management, MDM)
3-Н 2-Т 1-Т
3-Н 2-Т 1-Т
NIST Cybersecurity Framework (RU):
PR.AC-3
PR.AC-3: Управляется процесс предоставления удаленного доступа
PR.MA-2
PR.MA-2: Удаленное обслуживание организационных активов одобрено, зарегистрировано и выполняется способом, который предотвращает несанкционированный доступ
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
УПД.13
УПД.13 Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7":
ВПУ.13.3
ВПУ.13.3 Завершение сессии и прерывание сетевого подключения субъектов доступа после окончания удаленного технического обслуживания;
ВПУ.13.1
ВПУ.13.1 Многофакторную аутентификацию субъектов доступа, осуществляющих удаленное техническое обслуживание и диагностику;
ВПУ.13.2
ВПУ.13.2 Регистрацию операций, осуществляемых в рамках удаленного технического обслуживания и диагностики объектов информатизации;
ЗУР.2
ЗУР.2 Планирование и управление пропускной способностью средств защиты информации, реализующих защищенный удаленный логический доступ при переводе работников финансовой организации (значительной части сотрудников) на дистанционный формат работы вне основных офисов финансовой организации, в частности из дома («удаленная работа»).
ЗУР.1
ЗУР.1 Разработка отдельного плана или соответствующих положений в рамках плана ОНиВД* по переводу, в случае необходимости, работников финансовой организации (значительной части сотрудников) на дистанционный формат работы вне основных офисов финансовой организации, в частности из дома («удаленная работа»), в том числе на длительный срок.
ВПУ.13.7
ВПУ.13.7 Применение средств защиты информации для защиты целостности и конфиденциальности сессий сетевого взаимодействия при удаленном техническом обслуживании и диагностике;
ВПУ.13.8
ВПУ.13.8 Контроль и подтверждение завершения сессий и прерывания сетевого подключения субъектов доступа после окончания удаленного технического обслуживания и диагностики.
ВПУ.13.6
ВПУ.13.6 Использование защищенного выделенного (виртуального) канала сетевого взаимодействия при удаленном техническом обслуживании;
ВПУ.13.4
ВПУ.13.4 Аудит (последующий контроль) и анализ операций, осуществляемых в рамках удаленного технического обслуживания и диагностики;
ВПУ.13.5
ВПУ.13.5 Установление в договорах (контрактах) требований к осуществлению удаленного технического обслуживания и диагностики только посредством объектов информатизации, в отношении которых реализован тот же уровень защиты (в том числе защиты информации), что и в отношении обслуживаемых объектов информатизации;
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 8.2.7
8.2.7
Defined Approach Requirements:
Accounts used by third parties to access, support, or maintain system components via remote access are managed as follows:
Defined Approach Requirements:
Accounts used by third parties to access, support, or maintain system components via remote access are managed as follows:
- Enabled only during the time period needed and disabled when not in use.
- Use is monitored for unexpected activity.
Customized Approach Objective:
Third party remote access cannot be used except where specifically authorized and use is overseen by management.
Defined Approach Testing Procedures:
Third party remote access cannot be used except where specifically authorized and use is overseen by management.
Defined Approach Testing Procedures:
- 8.2.7 Interview personnel, examine documentation for managing accounts, and examine evidence to verify that accounts used by third parties for remote access are managed according to all elements specified in this requirement.
Purpose:
Allowing third parties to have 24/7 access into an entity’s systems and networks in case they need to provide support increases the chances of unauthorized access. This access could result in an unauthorized user in the third party’s environment or a malicious individual using the always-available external entry point into an entity’s network. Where third parties do need access 24/7, it should be documented, justified, monitored, and tied to specific service reasons.
Good Practice:
Enabling access only for the time periods needed and disabling it as soon as it is no longer required helps prevent misuse of these connections. Additionally, consider assigning third parties a start and stop date for their access in accordance with their service contract.
Monitoring third-party access helps ensure that third parties are accessing only the systems necessary and only during approved time frames. Any unusual activity using third-party accounts should be followed up and resolved.
Allowing third parties to have 24/7 access into an entity’s systems and networks in case they need to provide support increases the chances of unauthorized access. This access could result in an unauthorized user in the third party’s environment or a malicious individual using the always-available external entry point into an entity’s network. Where third parties do need access 24/7, it should be documented, justified, monitored, and tied to specific service reasons.
Good Practice:
Enabling access only for the time periods needed and disabling it as soon as it is no longer required helps prevent misuse of these connections. Additionally, consider assigning third parties a start and stop date for their access in accordance with their service contract.
Monitoring third-party access helps ensure that third parties are accessing only the systems necessary and only during approved time frames. Any unusual activity using third-party accounts should be followed up and resolved.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 8.2.7
8.2.7
Определенные Требования к Подходу:
Учетные записи, используемые третьими лицами для доступа, поддержки или обслуживания компонентов системы через удаленный доступ, управляются следующим образом:
Определенные Требования к Подходу:
Учетные записи, используемые третьими лицами для доступа, поддержки или обслуживания компонентов системы через удаленный доступ, управляются следующим образом:
- Включается только в течение необходимого периода времени и отключается, когда не используется.
- Использование отслеживается на предмет непредвиденных действий.
Цель Индивидуального подхода:
Удаленный доступ третьих лиц не может быть использован, за исключением случаев, когда это специально разрешено и использование контролируется руководством.
Определенные Процедуры Тестирования Подхода:
Удаленный доступ третьих лиц не может быть использован, за исключением случаев, когда это специально разрешено и использование контролируется руководством.
Определенные Процедуры Тестирования Подхода:
- 8.2.7 Опросите персонал, изучите документацию по управлению учетными записями и изучите доказательства, чтобы убедиться, что учетные записи, используемые третьими лицами для удаленного доступа, управляются в соответствии со всеми элементами, указанными в этом требовании.
Цель:
Предоставление третьим лицам доступа к системам и сетям организации в режиме 24/7 в случае необходимости оказания поддержки увеличивает вероятность несанкционированного доступа. Этот доступ может привести к тому, что неавторизованный пользователь в среде третьей стороны или злоумышленник воспользуется всегда доступной внешней точкой входа в сеть организации. Там, где третьим лицам действительно нужен доступ 24/7, он должен быть задокументирован, обоснован, отслежен и привязан к конкретным причинам обслуживания.
Надлежащая практика:
Включение доступа только на необходимые периоды времени и отключение его, как только он больше не требуется, помогает предотвратить неправильное использование этих подключений. Кроме того, рассмотрите возможность назначения третьим лицам даты начала и окончания их доступа в соответствии с их контрактом на обслуживание.
Мониторинг доступа третьих лиц помогает гарантировать, что третьи стороны получают доступ только к необходимым системам и только в утвержденные сроки. Любая необычная активность с использованием сторонних учетных записей должна отслеживаться и разрешаться.
Предоставление третьим лицам доступа к системам и сетям организации в режиме 24/7 в случае необходимости оказания поддержки увеличивает вероятность несанкционированного доступа. Этот доступ может привести к тому, что неавторизованный пользователь в среде третьей стороны или злоумышленник воспользуется всегда доступной внешней точкой входа в сеть организации. Там, где третьим лицам действительно нужен доступ 24/7, он должен быть задокументирован, обоснован, отслежен и привязан к конкретным причинам обслуживания.
Надлежащая практика:
Включение доступа только на необходимые периоды времени и отключение его, как только он больше не требуется, помогает предотвратить неправильное использование этих подключений. Кроме того, рассмотрите возможность назначения третьим лицам даты начала и окончания их доступа в соответствии с их контрактом на обслуживание.
Мониторинг доступа третьих лиц помогает гарантировать, что третьи стороны получают доступ только к необходимым системам и только в утвержденные сроки. Любая необычная активность с использованием сторонних учетных записей должна отслеживаться и разрешаться.
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
УПД.13
УПД.13 Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.6.7
А.6.7 Удаленная работа
В случае удаленной работы персонала должны быть реализованы меры безопасности для защиты информации, к которой осуществляется доступ, и той которая обрабатывается или хранится за пределами помещений организации.
В случае удаленной работы персонала должны быть реализованы меры безопасности для защиты информации, к которой осуществляется доступ, и той которая обрабатывается или хранится за пределами помещений организации.
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
УПД.13
УПД.13 Реализация защищенного удаленного доступа
Положение Банка России № 757-П от 20.04.2021 "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций":
1.11.
1.11. Некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны обеспечивать регистрацию результатов выполнения действий, связанных с осуществлением доступа к защищаемой информации, на всех технологических участках, включая регистрацию действий своих работников и клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения, с соблюдением следующих требований.
Некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны регистрировать следующую информацию о действиях своих работников и клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения:
Некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны регистрировать следующую информацию о действиях своих работников и клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения:
- в отношении работника - дату (день, месяц, год) и время (часы, минуты, секунды) осуществления финансовой операции, в отношении клиента - совершение действий в целях осуществления финансовой операции;
- присвоенный работнику (клиенту) идентификатор, позволяющий идентифицировать работника (клиента) в автоматизированной системе, программном обеспечении;
- код, соответствующий технологическому участку;
- в отношении работника - результат осуществления финансовой операции, в отношении клиента - совершение действий в целях осуществления финансовой операции;
- информацию, используемую для идентификации устройства, с применением которого осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления финансовых операций: сетевой адрес компьютера и (или) коммуникационного устройства (маршрутизатора) работника (клиента), международный идентификатор абонента-клиента (индивидуальный номер абонента-клиента - физического лица), международный идентификатор пользовательского оборудования (оконечного оборудования) клиента - физического лица, номер телефона и (или) иной идентификатор устройства клиента.
NIST Cybersecurity Framework (EN):
PR.AC-3
PR.AC-3: Remote access is managed
PR.MA-2
PR.MA-2: Remote maintenance of organizational assets is approved, logged, and performed in a manner that prevents unauthorized access
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
УПД.13
УПД.13 Реализация защищенного удаленного доступа
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.