Положение Банка России № 787-П от 12.01.2022

7.9.1 Применяемые финансовой организацией меры по защите информации при осуществлении удаленного логического доступа работников финансовой организации с использованием мобильных (переносных) устройств должны обеспечивать:

PR.AC-3: Управляется процесс предоставления удаленного доступа

УПД.13 Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети

РВН.5 Планирование, реализация, контроль и совершенствование мероприятий, направленных на уменьшение негативного влияния риска внутреннего нарушителя, применяемых в отношении работников поставщика услуг, привлекаемого в рамках выполнения бизнес- и технологических процессов.

ЗУР.2 Планирование и управление пропускной способностью средств защиты информации, реализующих защищенный удаленный логический доступ при переводе работников финансовой организации (значительной части сотрудников) на дистанционный формат работы вне основных офисов финансовой организации, в частности из дома («удаленная работа»).

2.2.7 
Defined Approach Requirements: 
All non-console administrative access is encrypted using strong cryptography. 

Customized Approach Objective:
Cleartext administrative authorization factors cannot be read or intercepted from any network transmissions. 

Applicability Notes:
This includes administrative access via browserbased interfaces and application programming interfaces (APIs). 

Defined Approach Testing Procedures:

rpose:
If non-console (including remote) administration does not use encrypted communications, administrative authorization factors (such as IDs and passwords) can be revealed to an eavesdropper. A malicious individual could use this information to access the network, become administrator, and steal data. 

Good Practice:
Whichever security protocol is used, it should be configured to use only secure versions and configurations to prevent use of an insecure connection—for example, by using only trusted certificates, supporting only strong encryption, and not supporting fallback to weaker, insecure protocols or methods. 

Examples:
Cleartext protocols (such as HTTP, telnet, etc.) do not encrypt traffic or logon details, making it easy for an eavesdropper to intercept this information. Non-console access may be facilitated by technologies that provide alternative access to systems, including but not limited to, out-of-band (OOB), lights-out management (LOM), Intelligent Platform Management Interface (IPMI), and keyboard, video, mouse (KVM) switches with remote capabilities. These and other non-console access technologies and methods must be secured with strong cryptography 

Further Information:
Refer to industry standards and best practices such as NIST SP 800-52 and SP 800-57. 

A.7.2.2  Осведомленность, обучение и практическая подготовка (тренинги) в области информационной безопасности 
Мера обеспечения информационной безопасности: Все работники организации и при необходимости подрядчики должны быть надлежащим образом обучены, практически подготовлены и на регулярной основе осведомлены об обновлениях политик и процедур информационной безопасности организации, необходимых для выполнения их функциональных обязанностей 

A.6.2.2  Дистанционная работа 
Мера обеспечения информационной безопасности: Следует определить политику и реализовать поддерживающие меры безопасности для защиты информации, доступ к которой, обработка или хранение осуществляются в местах дистанционной работы 

2.2.7
Определенные Требования к Подходу:
Весь административный доступ, не связанный с консольным доступом, шифруется с использованием надежной криптографии.

Цель Индивидуального подхода:
Открытые текстовые факторы авторизации администратора не могут быть прочитаны или перехвачены из любых сетевых передач.

Примечания по применению:
Это включает в себя административный доступ через браузерные интерфейсы и интерфейсы прикладного программирования (API).

Определенные Процедуры Тестирования Подхода:

Цель:
Если неконсольное (в том числе удаленное) администрирование не использует зашифрованные сообщения, факторы авторизации администратора (такие как идентификаторы и пароли) могут быть раскрыты злоумышленнику. Злоумышленник может использовать эту информацию для доступа к сети, стать администратором и украсть данные.

Надлежащая практика:
Какой бы протокол безопасности ни использовался, он должен быть настроен на использование только безопасных версий и конфигураций, чтобы предотвратить использование небезопасного соединения — например, используя только доверенные сертификаты, поддерживая только надежное шифрование и не поддерживая возврат к более слабым, небезопасным протоколам или методам.

Примеры:
Протоколы открытого текста (такие как HTTP, telnet и т.д.) не шифруют трафик или данные входа в систему, что упрощает перехват этой информации злоумышленником. Неконсольный доступ может быть облегчен с помощью технологий, обеспечивающих альтернативный доступ к системам, включая, но не ограничиваясь этим, внеполосный (OOB), управление отключением света (LOM), Интеллектуальный интерфейс управления платформой (IPMI) и переключатели клавиатуры, видео, мыши (KVM) с удаленными возможностями. Эти и другие технологии и методы, не связанные с консольным доступом, должны быть защищены надежной криптографией

Дополнительная информация:
Обратитесь к отраслевым стандартам и передовой практике, таким как NIST SP 800-52 и SP 800-57.

User education. Avoid phishing emails (e.g. with links to login to fake websites), weak passphrases, passphrase reuse, as well as unapproved: removable storage media, connected devices and cloud services.
Relative Security Effectiveness:  Good | Potential User Resistance:   Medium | Upfront Cost:  High | Ongoing Maintenance Cost:  Medium

6.5.4 Для осуществления мероприятий по мониторингу информационной безопасности должно быть обеспечено наличие штатных обученных категорий персонала (ответственных лиц, дежурных смен), основной деятельностью которых является постоянный мониторинг информационной безопасности. Выделяют следующие роли для персонала мониторинга информационной безопасности и их функции: 
- руководитель – выполняет функции, связанные с управлением персоналом, обеспечивающим функционирование процесса мониторинга информационной безопасности; 
- системный администратор – выполняет функции, связанные с обеспечением работоспособности программных и аппаратных компонентов, применяемых для мониторинга информационной безопасности, разработкой запросов на представление информации, а также развитием форм представления и визуализации информации; 
- администратор безопасности – выполняет функции, связанные с организацией настройки параметров функционирования программных и аппаратных компонентов, применяемых для мониторинга информационной безопасности; 
- специалист по взаимодействию с персоналом и пользователями – выполняет функции, связанные с приемом и регистрацией сообщений персонала и пользователей о выявленных нарушениях безопасности информации; 
- оператор – выполняет функции, связанные с анализом результатов мониторинга информационной безопасности (событий безопасности) и подготовкой аналитической информации; 
- специалист по оценке защищенности – выполняет функции, связанные с: 
контролем состава технических средств, программного обеспечения и средств защиты информации, применяемых в информационной (автоматизированной) системе (инвентаризация данных); выявлением угроз безопасности информации и уязвимостей информационных (автоматизированных) систем; контролем соответствия настроек программного обеспечения и средств защиты информации установленным требованиям безопасности (политикам безопасности); развитием методов и инструментальных средств сбора данных; 
- аналитик – выполняет функции, связанные с анализом результатов мониторинга информационной безопасности (событий безопасности) и разработкой правил агрегации и корреляции событий безопасности и определением критериев нарушений безопасности. По решению оператора на одно должностное лицо могут быть возложены функции, относящиеся к разным ролям персонала мониторинга информационной безопасности 

А.6.7 Удаленная работа
В случае удаленной работы персонала должны быть реализованы меры безопасности для защиты информации, к которой осуществляется доступ, и той которая обрабатывается или хранится за пределами помещений организации.

А.6.3 Осведомленность, образование и обучение в области ИБ
Персонал организации и релевантные заинтересованные стороны, соответственно их рабочим обязанностям, должны получать соответствующие информацию, повышение осведомленности, образование и обучение в области ИБ, а также регулярные обновления политики ИБ организации, специфических тематических политик и процедур.

17. Для выполнения требования, указанного в пункте 16 настоящего документа, необходимо назначение обладающего достаточными навыками должностного лица (работника) оператора ответственным за обеспечение безопасности персональных данных в информационной системе.

1.11. Некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, в рамках обеспечения операционной надежности должны обеспечить управление риском возникновения зависимости обеспечения операционной надежности от субъектов доступа - работников указанных некредитных финансовых организаций, обладающих знаниями, опытом и компетенцией, которые отсутствуют у всех иных работников указанных некредитных финансовых организаций.

Некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, должны обеспечить защиту критичной архитектуры от возможной реализации информационных угроз в периоды выполнения работниками указанных некредитных финансовых организаций трудовой функции дистанционно.

А.6.3 Information security awareness, education and training
Personnel of the organization and relevant interested parties shall receive appropriate information security awareness, education and training and regular updates of the organization's information security policy, topic-specific policies and procedures, as relevant for their job function.

А.6.7 Remote working
Security measures shall be implemented when personnel are working remotely to protect information accessed, processed or stored outside the organization’s premises.