Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Положение Банка России № 787-П от 12.01.2022

Обязательные для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг

п. 7

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
7.9.1
7.9.1 Применяемые финансовой организацией меры по защите информации при осуществлении удаленного логического доступа работников финансовой организации с использованием мобильных (переносных) устройств должны обеспечивать:
  • защиту информации от раскрытия и модификации при осуществлении удаленного доступа;
  • защиту внутренних вычислительных сетей при осуществлении удаленного доступа;
  • защиту информации от раскрытия и модификации при ее обработке и хранении на мобильных (переносных) устройствах.
NIST Cybersecurity Framework (RU):
PR.AC-3
PR.AC-3: Управляется процесс предоставления удаленного доступа
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
УПД.13
УПД.13 Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7":
РВН.5
РВН.5 Планирование, реализация, контроль и совершенствование мероприятий, направленных на уменьшение негативного влияния риска внутреннего нарушителя, применяемых в отношении работников поставщика услуг, привлекаемого в рамках выполнения бизнес- и технологических процессов.
ЗУР.2
ЗУР.2 Планирование и управление пропускной способностью средств защиты информации, реализующих защищенный удаленный логический доступ при переводе работников финансовой организации (значительной части сотрудников) на дистанционный формат работы вне основных офисов финансовой организации, в частности из дома («удаленная работа»).
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 2.2.7
2.2.7 
Defined Approach Requirements: 
All non-console administrative access is encrypted using strong cryptography. 

Customized Approach Objective:
Cleartext administrative authorization factors cannot be read or intercepted from any network transmissions. 

Applicability Notes:
This includes administrative access via browserbased interfaces and application programming interfaces (APIs). 

Defined Approach Testing Procedures:
  • 2.2.7.a Examine system configuration standards to verify they include encrypting all non-console administrative access using strong cryptography. 
  • 2.2.7.b Observe an administrator log on to system components and examine system configurations to verify that non-console administrative access is managed in accordance with this requirement. 
  • 2.2.7.c Examine settings for system components and authentication services to verify that insecure remote login services are not available for nonconsole administrative access. 
  • 2.2.7.d Examine vendor documentation and interview personnel to verify that strong cryptography for the technology in use is implemented according to industry best practices and/or vendor recommendations. 
rpose:
If non-console (including remote) administration does not use encrypted communications, administrative authorization factors (such as IDs and passwords) can be revealed to an eavesdropper. A malicious individual could use this information to access the network, become administrator, and steal data. 

Good Practice:
Whichever security protocol is used, it should be configured to use only secure versions and configurations to prevent use of an insecure connection—for example, by using only trusted certificates, supporting only strong encryption, and not supporting fallback to weaker, insecure protocols or methods. 

Examples:
Cleartext protocols (such as HTTP, telnet, etc.) do not encrypt traffic or logon details, making it easy for an eavesdropper to intercept this information. Non-console access may be facilitated by technologies that provide alternative access to systems, including but not limited to, out-of-band (OOB), lights-out management (LOM), Intelligent Platform Management Interface (IPMI), and keyboard, video, mouse (KVM) switches with remote capabilities. These and other non-console access technologies and methods must be secured with strong cryptography 

Further Information:
Refer to industry standards and best practices such as NIST SP 800-52 and SP 800-57. 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.7.2.2
A.7.2.2  Осведомленность, обучение и практическая подготовка (тренинги) в области информационной безопасности 
Мера обеспечения информационной безопасности: Все работники организации и при необходимости подрядчики должны быть надлежащим образом обучены, практически подготовлены и на регулярной основе осведомлены об обновлениях политик и процедур информационной безопасности организации, необходимых для выполнения их функциональных обязанностей 
A.6.2.2
A.6.2.2  Дистанционная работа 
Мера обеспечения информационной безопасности: Следует определить политику и реализовать поддерживающие меры безопасности для защиты информации, доступ к которой, обработка или хранение осуществляются в местах дистанционной работы 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 2.2.7
2.2.7
Определенные Требования к Подходу:
Весь административный доступ, не связанный с консольным доступом, шифруется с использованием надежной криптографии.

Цель Индивидуального подхода:
Открытые текстовые факторы авторизации администратора не могут быть прочитаны или перехвачены из любых сетевых передач.

Примечания по применению:
Это включает в себя административный доступ через браузерные интерфейсы и интерфейсы прикладного программирования (API).

Определенные Процедуры Тестирования Подхода:
  • 2.2.7.a Изучите стандарты конфигурации системы, чтобы убедиться, что они включают шифрование всего неконсольного административного доступа с использованием надежной криптографии.
  • 2.2.7.b Наблюдайте за входом администратора в системные компоненты и изучайте системные конфигурации, чтобы убедиться, что административный доступ, не связанный с консолью, управляется в соответствии с этим требованием.
  • 2.2.7.c Проверьте настройки системных компонентов и служб аутентификации, чтобы убедиться, что небезопасные службы удаленного входа недоступны для неконсольного административного доступа.
  • 2.2.7.d Изучите документацию поставщика и опросите персонал, чтобы убедиться, что надежная криптография для используемой технологии реализована в соответствии с лучшими отраслевыми практиками и/или рекомендациями поставщика.
Цель:
Если неконсольное (в том числе удаленное) администрирование не использует зашифрованные сообщения, факторы авторизации администратора (такие как идентификаторы и пароли) могут быть раскрыты злоумышленнику. Злоумышленник может использовать эту информацию для доступа к сети, стать администратором и украсть данные.

Надлежащая практика:
Какой бы протокол безопасности ни использовался, он должен быть настроен на использование только безопасных версий и конфигураций, чтобы предотвратить использование небезопасного соединения — например, используя только доверенные сертификаты, поддерживая только надежное шифрование и не поддерживая возврат к более слабым, небезопасным протоколам или методам.

Примеры:
Протоколы открытого текста (такие как HTTP, telnet и т.д.) не шифруют трафик или данные входа в систему, что упрощает перехват этой информации злоумышленником. Неконсольный доступ может быть облегчен с помощью технологий, обеспечивающих альтернативный доступ к системам, включая, но не ограничиваясь этим, внеполосный (OOB), управление отключением света (LOM), Интеллектуальный интерфейс управления платформой (IPMI) и переключатели клавиатуры, видео, мыши (KVM) с удаленными возможностями. Эти и другие технологии и методы, не связанные с консольным доступом, должны быть защищены надежной криптографией

Дополнительная информация:
Обратитесь к отраслевым стандартам и передовой практике, таким как NIST SP 800-52 и SP 800-57.
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
УПД.13 УПД.13 Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети
Strategies to Mitigate Cyber Security Incidents (EN):
1.15.
User education. Avoid phishing emails (e.g. with links to login to fake websites), weak passphrases, passphrase reuse, as well as unapproved: removable storage media, connected devices and cloud services.
Relative Security Effectiveness:  Good | Potential User Resistance:   Medium | Upfront Cost:  High | Ongoing Maintenance Cost:  Medium
ГОСТ Р № 59547-2021 от 01.04.2022 "Защита информации. Мониторинг информационной безопасности. Общие положения":
Р. 6 п. 5 п.п. 4
6.5.4 Для осуществления мероприятий по мониторингу информационной безопасности должно быть обеспечено наличие штатных обученных категорий персонала (ответственных лиц, дежурных смен), основной деятельностью которых является постоянный мониторинг информационной безопасности. Выделяют следующие роли для персонала мониторинга информационной безопасности и их функции: 
- руководитель – выполняет функции, связанные с управлением персоналом, обеспечивающим функционирование процесса мониторинга информационной безопасности; 
- системный администратор – выполняет функции, связанные с обеспечением работоспособности программных и аппаратных компонентов, применяемых для мониторинга информационной безопасности, разработкой запросов на представление информации, а также развитием форм представления и визуализации информации; 
- администратор безопасности – выполняет функции, связанные с организацией настройки параметров функционирования программных и аппаратных компонентов, применяемых для мониторинга информационной безопасности; 
- специалист по взаимодействию с персоналом и пользователями – выполняет функции, связанные с приемом и регистрацией сообщений персонала и пользователей о выявленных нарушениях безопасности информации; 
- оператор – выполняет функции, связанные с анализом результатов мониторинга информационной безопасности (событий безопасности) и подготовкой аналитической информации; 
- специалист по оценке защищенности – выполняет функции, связанные с: 
контролем состава технических средств, программного обеспечения и средств защиты информации, применяемых в информационной (автоматизированной) системе (инвентаризация данных); выявлением угроз безопасности информации и уязвимостей информационных (автоматизированных) систем; контролем соответствия настроек программного обеспечения и средств защиты информации установленным требованиям безопасности (политикам безопасности); развитием методов и инструментальных средств сбора данных; 
- аналитик – выполняет функции, связанные с анализом результатов мониторинга информационной безопасности (событий безопасности) и разработкой правил агрегации и корреляции событий безопасности и определением критериев нарушений безопасности. По решению оператора на одно должностное лицо могут быть возложены функции, относящиеся к разным ролям персонала мониторинга информационной безопасности 
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.6.7
А.6.7 Удаленная работа
В случае удаленной работы персонала должны быть реализованы меры безопасности для защиты информации, к которой осуществляется доступ, и той которая обрабатывается или хранится за пределами помещений организации.
А.6.3
А.6.3 Осведомленность, образование и обучение в области ИБ
Персонал организации и релевантные заинтересованные стороны, соответственно их рабочим обязанностям, должны получать соответствующие информацию, повышение осведомленности, образование и обучение в области ИБ, а также регулярные обновления политики ИБ организации, специфических тематических политик и процедур.
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ИПО.0 ИПО.0 Разработка политики информирования и обучения персонала
УПД.13 УПД.13 Реализация защищенного удаленного доступа
Приказ ФСБ России № 378 от 10.07.2014 "Состав и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации":
Глава III п. 17
17. Для выполнения требования, указанного в пункте 16 настоящего документа, необходимо назначение обладающего достаточными навыками должностного лица (работника) оператора ответственным за обеспечение безопасности персональных данных в информационной системе.
Положение Банка России № 779-П от 15.11.2021 "Обязательные для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке"":
п. 1.11.
1.11. Некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, в рамках обеспечения операционной надежности должны обеспечить управление риском возникновения зависимости обеспечения операционной надежности от субъектов доступа - работников указанных некредитных финансовых организаций, обладающих знаниями, опытом и компетенцией, которые отсутствуют у всех иных работников указанных некредитных финансовых организаций.
Некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, должны обеспечить защиту критичной архитектуры от возможной реализации информационных угроз в периоды выполнения работниками указанных некредитных финансовых организаций трудовой функции дистанционно.
NIST Cybersecurity Framework (EN):
PR.AC-3 PR.AC-3: Remote access is managed
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ИПО.0 ИПО.0 Регламентация правил и процедур информирования и обучения персонала
УПД.13 УПД.13 Реализация защищенного удаленного доступа
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.6.3
А.6.3 Information security awareness, education and training
Personnel of the organization and relevant interested parties shall receive appropriate information security awareness, education and training and regular updates of the organization's information security policy, topic-specific policies and procedures, as relevant for their job function.
А.6.7
А.6.7 Remote working
Security measures shall be implemented when personnel are working remotely to protect information accessed, processed or stored outside the organization’s premises.

Связанные защитные меры