Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

NIST Cybersecurity Framework (EN)

Framework

PR.AC-3

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

Постановление Правительства РФ № 1441 от 01.09.2023 "Об утверждении правил хранения на территории РФ информации о фактах приема, передачи, доставки и (или) обработки голосовой информации, текстовых сообщений, изображений, звуков, видео- или иных электронных сообщений":
п. 4
4. Информация, указанная в пункте 2 настоящих Правил, предоставляется уполномоченному подразделению органа федеральной службы безопасности, уполномоченному на взаимодействие с владельцем технологической сети, с использованием круглосуточно удаленного доступа к техническим средствам для проведения оперативно-разыскных мероприятий, в том числе в интересах других уполномоченных органов. 

Допускается по согласованию с уполномоченным подразделением органа федеральной службы безопасности использование владельцем технологической сети для хранения информации технических средств накопления информации, принадлежащих иному владельцу технологической сети связи и (или) оператору связи. 

Технические средства для проведения оперативно-разыскных мероприятий обеспечивают передачу информации на пункт управления уполномоченного подразделения органа федеральной службы безопасности в декодированном виде. 
CIS Critical Security Controls v8.1 (The 18 CIS CSC):
6.4
6.4 Require MFA for Remote Network Access 
Require MFA for remote network access. 
Положение Банка России № 787-П от 12.01.2022 "Обязательные для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг":
п. 7
7. Кредитные организации должны обеспечить нейтрализацию информационных угроз в отношении возникновения зависимости обеспечения операционной надежности от субъектов доступа, являющихся работниками кредитной организации, обладающими уникальными знаниями, опытом и компетенцией в области разработки технологических процессов, поддержания их выполнения, реализации технологических процессов, которые отсутствуют у иных работников указанной кредитной организации.

Кредитные организации должны обеспечить защиту критичной архитектуры от возможной реализации информационных угроз в условиях дистанционной (удаленной) работы работников кредитной организации.
NIST Cybersecurity Framework (RU):
PR.AC-3
PR.AC-3: Управляется процесс предоставления удаленного доступа
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
УПД.13
УПД.13 Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7":
ЗУР.2
ЗУР.2 Планирование и управление пропускной способностью средств защиты информации, реализующих защищенный удаленный логический доступ при переводе работников финансовой организации (значительной части сотрудников) на дистанционный формат работы вне основных офисов финансовой организации, в частности из дома («удаленная работа»).
ЗУР.1
ЗУР.1 Разработка отдельного плана или соответствующих положений в рамках плана ОНиВД* по переводу, в случае необходимости, работников финансовой организации (значительной части сотрудников) на дистанционный формат работы вне основных офисов финансовой организации, в частности из дома («удаленная работа»), в том числе на длительный срок.
Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):
6.4
6.4 Требуется многофакторная аутентификация для удаленного доступа к сети
Запрашивать многофакторную аутентификацию для удаленного доступа к сети.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 2.2.7
2.2.7 
Defined Approach Requirements: 
All non-console administrative access is encrypted using strong cryptography. 

Customized Approach Objective:
Cleartext administrative authorization factors cannot be read or intercepted from any network transmissions. 

Applicability Notes:
This includes administrative access via browserbased interfaces and application programming interfaces (APIs). 

Defined Approach Testing Procedures:
  • 2.2.7.a Examine system configuration standards to verify they include encrypting all non-console administrative access using strong cryptography. 
  • 2.2.7.b Observe an administrator log on to system components and examine system configurations to verify that non-console administrative access is managed in accordance with this requirement. 
  • 2.2.7.c Examine settings for system components and authentication services to verify that insecure remote login services are not available for nonconsole administrative access. 
  • 2.2.7.d Examine vendor documentation and interview personnel to verify that strong cryptography for the technology in use is implemented according to industry best practices and/or vendor recommendations. 
rpose:
If non-console (including remote) administration does not use encrypted communications, administrative authorization factors (such as IDs and passwords) can be revealed to an eavesdropper. A malicious individual could use this information to access the network, become administrator, and steal data. 

Good Practice:
Whichever security protocol is used, it should be configured to use only secure versions and configurations to prevent use of an insecure connection—for example, by using only trusted certificates, supporting only strong encryption, and not supporting fallback to weaker, insecure protocols or methods. 

Examples:
Cleartext protocols (such as HTTP, telnet, etc.) do not encrypt traffic or logon details, making it easy for an eavesdropper to intercept this information. Non-console access may be facilitated by technologies that provide alternative access to systems, including but not limited to, out-of-band (OOB), lights-out management (LOM), Intelligent Platform Management Interface (IPMI), and keyboard, video, mouse (KVM) switches with remote capabilities. These and other non-console access technologies and methods must be secured with strong cryptography 

Further Information:
Refer to industry standards and best practices such as NIST SP 800-52 and SP 800-57. 
Requirement 8.2.7
8.2.7
Defined Approach Requirements: 
Accounts used by third parties to access, support, or maintain system components via remote access are managed as follows:
  • Enabled only during the time period needed and disabled when not in use.
  • Use is monitored for unexpected activity. 
Customized Approach Objective:
Third party remote access cannot be used except where specifically authorized and use is overseen by management. 

Defined Approach Testing Procedures:
  • 8.2.7 Interview personnel, examine documentation for managing accounts, and examine evidence to verify that accounts used by third parties for remote access are managed according to all elements specified in this requirement. 
Purpose:
Allowing third parties to have 24/7 access into an entity’s systems and networks in case they need to provide support increases the chances of unauthorized access. This access could result in an unauthorized user in the third party’s environment or a malicious individual using the always-available external entry point into an entity’s network. Where third parties do need access 24/7, it should be documented, justified, monitored, and tied to specific service reasons. 

Good Practice:
Enabling access only for the time periods needed and disabling it as soon as it is no longer required helps prevent misuse of these connections. Additionally, consider assigning third parties a start and stop date for their access in accordance with their service contract. 
Monitoring third-party access helps ensure that third parties are accessing only the systems necessary and only during approved time frames. Any unusual activity using third-party accounts should be followed up and resolved. 
Requirement 3.4.1
3.4.1 
Defined Approach Requirements: 
PAN is masked when displayed (the BIN and last four digits are the maximum number of digits to be displayed), such that only personnel with a legitimate business need can see more than the BIN and last four digits of the PAN. 

Customized Approach Objective:
PAN displays are restricted to the minimum number of digits necessary to meet a defined business need. 

Applicability Notes:
This requirement does not supersede stricter requirements in place for displays of cardholder data—for example, legal or payment brand requirements for point-of-sale (POS) receipts. 
This requirement relates to protection of PAN where it is displayed on screens, paper receipts, printouts, etc., and is not to be confused with Requirement 3.5.1 for protection of PAN when stored, processed, or transmitted. 

Defined Approach Testing Procedures:
  • 3.4.1.a Examine documented policies and procedures for masking the display of PANs to verify:
    • A list of roles that need access to more than the BIN and last four digits of the PAN (includes full PAN) is documented, together with a legitimate business need for each role to have such access.
    • PAN is masked when displayed such that only personnel with a legitimate business need can see more than the BIN and last four digits of the PAN. 
    • All roles not specifically authorized to see the full PAN must only see masked PANs. 
  • 3.4.1.b Examine system configurations to verify that full PAN is only displayed for roles with a documented business need, and that PAN is masked for all other requests. 
  • 3.4.1.c Examine displays of PAN (for example, on screen, on paper receipts) to verify that PANs are masked when displayed, and that only those with a legitimate business need are able to see more than the BIN and/or last four digits of the PAN. 
Purpose:
The display of full PAN on computer screens, payment card receipts, paper reports, etc. can result in this data being obtained by unauthorized individuals and used fraudulently. Ensuring that the full PAN is displayed only for those with a legitimate business need minimizes the risk of unauthorized persons gaining access to PAN data. 

Good Practice:
Applying access controls according to defined roles is one way to limit access to viewing full PAN to only those individuals with a defined business need. 
The masking approach should always display only the number of digits needed to perform a specific business function. For example, if only the last four digits are needed to perform a business function, PAN should be masked to only show the last four digits. As another example, if a function needs to view to the bank identification number (BIN) for routing purposes, unmask only the BIN digits for that function. 

Definitions:
Masking is not synonymous with truncation and these terms cannot be used interchangeably. Masking refers to the concealment of certain digits during display or printing, even when the entire PAN is stored on a system. This is different from truncation, in which the truncated digits are removed and cannot be retrieved within the system. Masked PAN could be “unmasked”, but there is no "un-truncation" without recreating the PAN from another source. 

Further Information:
For more information about masking and truncation, see PCI SSC’s FAQs on these topics. 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.6.2.2
A.6.2.2  Дистанционная работа 
Мера обеспечения информационной безопасности: Следует определить политику и реализовать поддерживающие меры безопасности для защиты информации, доступ к которой, обработка или хранение осуществляются в местах дистанционной работы 
A.13.2.1
A.13.2.1 Политики и процедуры передачи информации 
Мера обеспечения информационной безопасности: Должны существовать формализованные политики и процедуры передачи информации, а также соответствующие меры обеспечения информационной безопасности, обеспечивающие защиту информации, передаваемой с использованием всех видов средств связи 
A.13.1.1
A.13.1.1 Меры обеспечения информационной безопасности для сетей 
Мера обеспечения информационной безопасности: Сети должны управляться и контролироваться для обеспечения защиты информации систем и приложений 
A.11.2.6
A.11.2.6 Безопасность оборудования и активов вне помещений организации 
Мера обеспечения информационной безопасности: Следует обеспечивать безопасность активов вне помещений организации, учитывая различные риски информационной безопасности, связанные с работой вне помещений организации 
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 12.11 CSC 12.11 Require All Remote Login to Use Multi-Factor Authentication
Require all remote login access to the organization's network to encrypt data in transit and use multi-factor authentication.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 3.4.1
3.4.1
Определенные Требования к Подходу:
При отображении PAN маскируется (ячейка и последние четыре цифры - это максимальное количество отображаемых цифр), так что только персонал с законными деловыми потребностями может видеть больше, чем ячейка и последние четыре цифры PAN.

Цель Индивидуального подхода:
PAN отображается минимальным количеством цифр, необходимым для удовлетворения определенных бизнес-потребностей.

Примечания по применению:
Это требование не отменяет более строгих требований, предъявляемых к отображению данных о держателях карт, например, юридических требований или требований к платежным маркам для чеков в точках продаж (POS).
Это требование относится к защите PAN, когда он отображается на экранах, бумажных квитанциях, распечатках и т.д., И его не следует путать с требованием 3.5.1 о защите PAN при хранении, обработке или передаче.

Определенные Процедуры Тестирования Подхода:
  • 3.4.1.a Изучить документированные политики и процедуры для маскировки отображения лотков для проверки:
    • Задокументирован список ролей, которым требуется доступ не только к BIN и последним четырем цифрам PAN (включая полный PAN), а также законная бизнес-потребность в том, чтобы каждая роль имела такой доступ.
    • При отображении PAN маскируется таким образом, что только персонал, имеющий законную деловую потребность, может видеть больше, чем ячейку и последние четыре цифры PAN.
    • Все роли, не имеющие специального разрешения на просмотр полного PAN, должны видеть только замаскированный PAN.
  • 3.4.1.b Проверьте системные конфигурации, чтобы убедиться, что полный PAN отображается только для ролей с документированной бизнес-потребностью, и что PAN скрыт для всех других запросов.
  • 3.4.1.c Изучите отображение PAN (например, на экране, на бумажных квитанциях), чтобы убедиться, что PAN маскируются при отображении и что только те, у кого есть законные деловые потребности, могут видеть больше, чем ячейка и / или последние четыре цифры PAN.
Цель:
Отображение полной информации на экранах компьютеров, квитанциях по платежным картам, бумажных отчетах и т.д. может привести к получению этих данных неуполномоченными лицами и их мошенническому использованию. Обеспечение того, чтобы полный PAN отображался только для тех, у кого есть законные деловые потребности, сводит к минимуму риск получения доступа к данным PAN посторонними лицами.

Надлежащая практика:
Применение элементов управления доступом в соответствии с определенными ролями - это один из способов ограничить доступ к просмотру полной панорамы только для тех пользователей, у которых есть определенные бизнес-потребности.
Подход маскирования всегда должен отображать только количество цифр, необходимое для выполнения определенной бизнес-функции. Например, если для выполнения бизнес-функции необходимы только последние четыре цифры, PAN следует замаскировать, чтобы показывать только последние четыре цифры. В качестве другого примера, если функции необходимо просмотреть идентификационный номер банка (BIN) для целей маршрутизации, снимите маску только с цифр BIN для этой функции.

Определения:
Маскировка не является синонимом усечения, и эти термины не могут использоваться взаимозаменяемо. Маскирование относится к сокрытию определенных цифр во время отображения или печати, даже если в системе хранится вся панорама целиком. Это отличается от усечения, при котором усеченные цифры удаляются и не могут быть восстановлены в системе. Замаскированный PAN может быть “разоблачен”, но нет никакого "удаления усечения" без воссоздания PAN из другого источника.

Дополнительная информация:
Для получения дополнительной информации о маскировании и усечении см. Часто задаваемые вопросы PCI SSC по этим темам.
Requirement 8.2.7
8.2.7
Определенные Требования к Подходу:
Учетные записи, используемые третьими лицами для доступа, поддержки или обслуживания компонентов системы через удаленный доступ, управляются следующим образом:
  • Включается только в течение необходимого периода времени и отключается, когда не используется.
  • Использование отслеживается на предмет непредвиденных действий.
Цель Индивидуального подхода:
Удаленный доступ третьих лиц не может быть использован, за исключением случаев, когда это специально разрешено и использование контролируется руководством.

Определенные Процедуры Тестирования Подхода:
  • 8.2.7 Опросите персонал, изучите документацию по управлению учетными записями и изучите доказательства, чтобы убедиться, что учетные записи, используемые третьими лицами для удаленного доступа, управляются в соответствии со всеми элементами, указанными в этом требовании.
Цель:
Предоставление третьим лицам доступа к системам и сетям организации в режиме 24/7 в случае необходимости оказания поддержки увеличивает вероятность несанкционированного доступа. Этот доступ может привести к тому, что неавторизованный пользователь в среде третьей стороны или злоумышленник воспользуется всегда доступной внешней точкой входа в сеть организации. Там, где третьим лицам действительно нужен доступ 24/7, он должен быть задокументирован, обоснован, отслежен и привязан к конкретным причинам обслуживания.

Надлежащая практика:
Включение доступа только на необходимые периоды времени и отключение его, как только он больше не требуется, помогает предотвратить неправильное использование этих подключений. Кроме того, рассмотрите возможность назначения третьим лицам даты начала и окончания их доступа в соответствии с их контрактом на обслуживание.
Мониторинг доступа третьих лиц помогает гарантировать, что третьи стороны получают доступ только к необходимым системам и только в утвержденные сроки. Любая необычная активность с использованием сторонних учетных записей должна отслеживаться и разрешаться.
Requirement 2.2.7
2.2.7
Определенные Требования к Подходу:
Весь административный доступ, не связанный с консольным доступом, шифруется с использованием надежной криптографии.

Цель Индивидуального подхода:
Открытые текстовые факторы авторизации администратора не могут быть прочитаны или перехвачены из любых сетевых передач.

Примечания по применению:
Это включает в себя административный доступ через браузерные интерфейсы и интерфейсы прикладного программирования (API).

Определенные Процедуры Тестирования Подхода:
  • 2.2.7.a Изучите стандарты конфигурации системы, чтобы убедиться, что они включают шифрование всего неконсольного административного доступа с использованием надежной криптографии.
  • 2.2.7.b Наблюдайте за входом администратора в системные компоненты и изучайте системные конфигурации, чтобы убедиться, что административный доступ, не связанный с консолью, управляется в соответствии с этим требованием.
  • 2.2.7.c Проверьте настройки системных компонентов и служб аутентификации, чтобы убедиться, что небезопасные службы удаленного входа недоступны для неконсольного административного доступа.
  • 2.2.7.d Изучите документацию поставщика и опросите персонал, чтобы убедиться, что надежная криптография для используемой технологии реализована в соответствии с лучшими отраслевыми практиками и/или рекомендациями поставщика.
Цель:
Если неконсольное (в том числе удаленное) администрирование не использует зашифрованные сообщения, факторы авторизации администратора (такие как идентификаторы и пароли) могут быть раскрыты злоумышленнику. Злоумышленник может использовать эту информацию для доступа к сети, стать администратором и украсть данные.

Надлежащая практика:
Какой бы протокол безопасности ни использовался, он должен быть настроен на использование только безопасных версий и конфигураций, чтобы предотвратить использование небезопасного соединения — например, используя только доверенные сертификаты, поддерживая только надежное шифрование и не поддерживая возврат к более слабым, небезопасным протоколам или методам.

Примеры:
Протоколы открытого текста (такие как HTTP, telnet и т.д.) не шифруют трафик или данные входа в систему, что упрощает перехват этой информации злоумышленником. Неконсольный доступ может быть облегчен с помощью технологий, обеспечивающих альтернативный доступ к системам, включая, но не ограничиваясь этим, внеполосный (OOB), управление отключением света (LOM), Интеллектуальный интерфейс управления платформой (IPMI) и переключатели клавиатуры, видео, мыши (KVM) с удаленными возможностями. Эти и другие технологии и методы, не связанные с консольным доступом, должны быть защищены надежной криптографией

Дополнительная информация:
Обратитесь к отраслевым стандартам и передовой практике, таким как NIST SP 800-52 и SP 800-57.
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
УПД.13 УПД.13 Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.6.7
А.6.7 Удаленная работа
В случае удаленной работы персонала должны быть реализованы меры безопасности для защиты информации, к которой осуществляется доступ, и той которая обрабатывается или хранится за пределами помещений организации.
А.5.14
А.5.14 Передача информации
Для всех видов средств передачи информации внутри организации и между организацией и другими сторонами должны действовать правила, процедуры или соглашения по передаче информации.
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
УПД.13 УПД.13 Реализация защищенного удаленного доступа
Положение Банка России № 779-П от 15.11.2021 "Обязательные для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке"":
п. 1.11.
1.11. Некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, в рамках обеспечения операционной надежности должны обеспечить управление риском возникновения зависимости обеспечения операционной надежности от субъектов доступа - работников указанных некредитных финансовых организаций, обладающих знаниями, опытом и компетенцией, которые отсутствуют у всех иных работников указанных некредитных финансовых организаций.
Некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, должны обеспечить защиту критичной архитектуры от возможной реализации информационных угроз в периоды выполнения работниками указанных некредитных финансовых организаций трудовой функции дистанционно.
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
УПД.13 УПД.13 Реализация защищенного удаленного доступа
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
13.2.1
13.2.1 Политики и процедуры передачи информации

Мера обеспечения ИБ
Должны существовать формализованные политики и процедуры передачи информации, а также соответствующие меры, обеспечивающие безопасность информации, передаваемой с использованием всех видов средств связи.

Руководство по применению
Процедуры и меры обеспечения ИБ, которым необходимо следовать при использовании средств связи для передачи информации, должны учитывать следующее:
  • a) процедуры, предназначенные для защиты передаваемой информации от перехвата, копирования, модификации, перенаправления и уничтожения;
  • b) процедуры обнаружения и защиты от вредоносных программ, которые могут передаваться с использованием электронных средств связи (см. 12.2.1);
  • c) процедуры для защиты информации ограниченного доступа в электронном виде, передаваемой в форме вложения;
  • d) политику или руководства, определяющие допустимое использование средств связи (см. 8.1.3);
  • e) обязанности персонала, внешних сторон и любых иных пользователей не предпринимать действий, ставящих под угрозу организацию, например посредством клеветы, домогательств, неправомерного представления себя от лица организации, рассылки писем по цепочке, неавторизованных закупок и т.д.;
  • f) использование криптографических методов, например для защиты конфиденциальности, целостности и аутентичности информации (раздел 10);
  • g) руководства по срокам хранения и утилизации всей деловой переписки, включая сообщения, соответствующие национальному и местному законодательству и нормативным документам;
  • h) меры обеспечения ИБ и ограничения, связанные с использованием средств связи, например автоматическая пересылка электронной почты на внешние почтовые адреса;
  • i) рекомендации персоналу предпринимать меры предосторожности во избежание раскрытия конфиденциальной информации;
  • j) не оставлять сообщения, содержащие конфиденциальную информацию на автоответчиках, так как они могут быть прослушаны неавторизованными лицами, сохранены в системах общего пользования или некорректно записаны в результате ошибочного набора номера;
  • k) консультирование персонала о проблемах, связанных с использованием факсов и соответствующих услуг, а именно:
  1. неавторизованный доступ к встроенным хранилищам сообщений для извлечения сообщений;
  2. преднамеренное или случайное программирование машин на отправку сообщений на определенные номера;
  3. отсылка документов и сообщений на неверный номер в результате ошибочного набора либо вызова сохраненного неверного номера.
Кроме того, персоналу следует напоминать, что не следует вести конфиденциальные разговоры в общественных местах или по небезопасным каналам связи, в открытых офисах и переговорных.
Услуги по передаче информации должны соответствовать всем релевантным требованиям законодательства (см. 18.1).

Дополнительная информация
Передача информации может осуществляться с использованием ряда различных типов средств связи, включая электронную почту, голосовую и факсимильную связь, а также видео.
Передача программного обеспечения может осуществляться различными способами, включая загрузку из Интернета и приобретение у поставщиков, продающих готовые продукты.
Следует учитывать юридические последствия, влияние на бизнес и безопасность, связанные с обменом электронными данными, электронной торговлей и электронной связью, а также требования к мерам обеспечения ИБ.
11.2.6
11.2.6 Безопасность оборудования и активов вне помещений организации

Мера обеспечения ИБ
Следует обеспечивать безопасность активов вне помещений организации, учитывая различные риски ИБ, связанные с работой вне помещений организации.

Руководство по применению
Использование за пределами организации любого оборудования для хранения и обработки информации должно быть разрешено руководством. Это относится как к оборудованию, принадлежащему организации, так и к оборудованию, принадлежащему частным лицам, но используемому от имени организации.
Следует рассмотреть следующие рекомендации для защиты оборудования вне организации:
  • a) оборудование и носители, вынесенные за пределы помещений организации, не следует оставлять без присмотра в общественных местах;
  • b) инструкции производителя по защите оборудования должны всегда соблюдаться, например по защите от воздействия сильных электромагнитных полей;
  • c) меры обеспечения информационной безопасности для работы за пределами организации, например для работы дома, удаленной работы и работы на временных точках, должны определяться на основе оценки риска и применяться в зависимости от ситуации, например запираемые шкафы для документов, политика чистого стола, управление доступом к компьютерам и защищенная связь с офисом (см. также ИСО/МЭК 27033 [15], [16], [17], [18], [19]);
  • d) когда оборудование, эксплуатируемое за пределами организации, передается между разными лицами или внешними сторонами, следует вести журнал, в котором необходимо фиксировать всю цепочку передачи для оборудования, включая, как минимум, ФИО лица и наименование организации, ответственных за оборудование.
Риски, связанные, например, с повреждением, кражей или прослушиванием, могут существенно различаться в зависимости от места и должны учитываться при определении наиболее подходящих мер обеспечения ИБ.

Дополнительная информация
Оборудование для хранения и обработки информации включает в себя все виды персональных компьютеров, органайзеров, мобильных телефонов, смарт-карт, документы на бумажных или других носителях, которые предназначены для работы на дому или которые можно выносить с обычного места работы.
Более подробную информацию о других аспектах защиты переносного оборудования можно найти в 6.2.
Возможно, будет целесообразно предотвратить риск, отговорив определенных работников работать вне офиса или ограничив использование ими портативного ИТ-оборудования.
6.2.2
6.2.2 Дистанционная работа

Мера обеспечения ИБ
Должна быть определена политика и реализованы поддерживающие меры безопасности для защиты информации, доступ к которой, обработку или хранение осуществляют в местах дистанционной работы.

Руководство по применению
В организациях, предусматривающих возможность дистанционной работы, должна издаваться политика, определяющая условия и ограничения для дистанционной работы. В тех случаях, когда это применимо и разрешено законом, следует рассмотреть следующие вопросы:
  • a) существующая физическая защита удаленного места работы с учетом физической безопасности здания и местности;
  • b) предлагаемая физическая среда дистанционной работы;
  • c) требования к безопасности связи с учетом необходимости удаленного доступа к внутренним системам организации, чувствительности этих систем, а также с учетом информации ограниченного доступа, к которой будут осуществлять доступ и которую будут передавать по линиям связи;
  • d) предоставление доступа к виртуальному рабочему столу, который предотвращает обработку и хранение информации на личном оборудовании;
  • e) угроза несанкционированного доступа к информации или ресурсам со стороны других лиц, находящихся в этом же помещении, например членов семьи или друзей;
  • f) использование домашних сетей и установление требований или ограничений на конфигурацию сервисов беспроводных сетей;
  • g) политики и процедуры для предотвращения споров, касающихся прав на интеллектуальную собственность, разработанную на личном оборудовании;
  • h) доступ к личному оборудованию (для проверки его безопасности или в ходе расследования) может быть запрещен законодательством;
  • i) лицензионные соглашения на программное обеспечение, в соответствии с которыми организация может нести ответственность за лицензирование клиентского программного обеспечения на личных рабочих станциях работников или внешних пользователей;
  • j) требования к защите от вредоносных программ и межсетевым экранам.

Руководящие принципы и меры, которые следует учитывать, должны включать в себя:
  • a) предоставление подходящего оборудования для дистанционной работы и устройств хранения в тех случаях, когда использование личного оборудования, не находящегося под контролем организации, не допускается;
  • b) определение разрешенных работ, часов работы, категорий информации, которую можно обрабатывать, а также определение внутренних систем и сервисов, к которым разрешен доступ дистанционному работнику;
  • c) предоставление соответствующего коммуникационного оборудования, включая способы обеспечения безопасного удаленного доступа;
  • d) физическую безопасность;
  • e) правила и рекомендации по доступу членов семьи и посетителей к оборудованию и информации;
  • f) предоставление технической и программной поддержки и обслуживания;
  • g) страхование;
  • h) процедуры резервного копирования и обеспечения непрерывности бизнеса;
  • i) аудит и мониторинг безопасности;
  • j) аннулирование полномочий и прав доступа, а также возврат оборудования по окончании дистанционной работы;
  • k) предоставление доступа к корпоративной информации.

Дополнительная информация
К термину "дистанционная работа" относятся все формы работы вне офиса, в том числе нетрадиционная рабочая среда, такая как "работа на дому", "гибкое рабочее место" и "виртуальное рабочее место".
13.1.1
13.1.1 Меры обеспечения информационной безопасности сетей

Мера обеспечения ИБ
Сети должны управляться и контролироваться для обеспечения защиты информации в системах и приложениях.

Руководство по применению
Должны быть реализованы меры для обеспечения безопасности информации в сетях и защиты подключенных сервисов от несанкционированного доступа. В частности, следует учитывать следующее:
  • a) должны быть установлены обязанности и процедуры для управления сетевым оборудованием;
  • b) там, где это применимо, обязанности по эксплуатации сетей должны быть отделены от обязанностей по эксплуатации компьютеров (см. 6.1.2);
  • c) должны быть установлены специальные меры обеспечения ИБ для защиты конфиденциальности и целостности данных, передаваемых по сетям общего пользования или беспроводным сетям, и для защиты подключенных систем и приложений (раздел 10 и 13.2); могут потребоваться специальные меры для обеспечения доступности сетевых сервисов и подключенных компьютеров;
  • d) должна вестись соответствующая регистрация и мониторинг с целью фиксации и обнаружения действий, которые могут повлиять на ИБ или имеют отношение к ней;
  • e) действия по управлению должны быть тесно координированы как для того, чтобы оптимизировать обслуживание организации, так и для обеспечения того, чтобы меры обеспечения безопасности применялись согласованно в рамках всей инфраструктуры обработки информации;
  • f) системы в сетях должны проходить процедуру аутентификации;
  • g) подключение систем к сети должно быть ограничено.

Дополнительная информация
Дополнительную информацию о сетевой безопасности можно найти в ИСО/МЭК 27033 [15], [16], [17], [18], [19].
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.6.7
А.6.7 Remote working
Security measures shall be implemented when personnel are working remotely to protect information accessed, processed or stored outside the organization’s premises.
А.5.14
А.5.14 Information transfer
Information transfer rules, procedures, or agreements shall be in place for all types of transfer facilities within the organization and between the organization and other parties.

Связанные защитные меры

Ничего не найдено

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.