Точный
Статус документа
Статус документа

ГОСТ Р 57580.1-2017 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер (Издание с Поправкой)

     7.2 Процесс 1 "Обеспечение защиты информации при управлении доступом"

7.2.1 Подпроцесс "Управление учетными записями и правами субъектов логического доступа"

7.2.1.1 Применяемые финансовой организацией меры по управлению учетными записями и правами субъектов логического доступа должны обеспечивать:

- организацию и контроль использования учетных записей субъектов логического доступа;

- организацию и контроль предоставления (отзыва) и блокирования логического доступа;

- регистрацию событий защиты информации, связанных с операциями с учетными записями и правами логического доступа, и контроль использования предоставленных прав логического доступа.

При реализации подпроцесса "Управление учетными записями и правами субъектов логического доступа" рекомендуется использовать ГОСТ Р 50739.

7.2.1.2 Базовый состав мер по организации и контролю использования учетных записей субъектов логического доступа применительно к уровням защиты информации приведен в таблице 1.


Таблица 1 - Базовый состав мер по организации и контролю использования учетных записей субъектов логического доступа

Условное обозначение и номер меры

Содержание мер системы защиты информации

Уровень защиты информации

3

2

1

УЗП.1

Осуществление логического доступа пользователями и эксплуатационным персоналом под уникальными и персонифицированными учетными записями

Т

Т

Т

УЗП.2

Контроль соответствия фактического состава разблокированных учетных записей фактическому составу легальных субъектов логического доступа

О

О

Т

УЗП.3

Контроль отсутствия незаблокированных учетных записей:

- уволенных работников;

- работников, отсутствующих на рабочем месте более 90 календарных дней;

- работников внешних (подрядных) организаций, прекративших свою деятельность в организации

О

О

Т

УЗП.4

Контроль отсутствия незаблокированных учетных записей неопределенного целевого назначения

О

О

О

7.2.1.3 Базовый состав мер по организации, контролю предоставления (отзыва) и блокированию логического доступа применительно к уровням защиты информации приведен в таблице 2.


Таблица 2 - Базовый состав мер по организации, контролю предоставления (отзыва) и блокированию логического доступа

Условное обозначение и номер меры

Содержание мер системы защиты информации

Уровень защиты информации

3

2

1

УЗП.5

Документарное определение правил предоставления (отзыва) и блокирования логического доступа

Н

О

О

УЗП.6

Назначение для всех ресурсов доступа распорядителя логического доступа (владельца ресурса доступа)

О

О

О

УЗП.7

Предоставление прав логического доступа по решению распорядителя логического доступа (владельца ресурса доступа)

О

О

О

УЗП.8

Хранение эталонной информации о предоставленных правах логического доступа и обеспечение целостности указанной информации

О

Т

Т

УЗП.9

Контроль соответствия фактических прав логического доступа эталонной информации о предоставленных правах логического доступа

О

Т

Т

УЗП.10

Исключение возможного бесконтрольного самостоятельного расширения пользователями предоставленных им прав логического доступа

Т

Т

Т

УЗП.11

Исключение возможного бесконтрольного изменения пользователями параметров настроек средств и систем защиты информации, параметров настроек АС, связанных с защитой информации

Т

Т

Т

УЗП.12

Контроль необходимости отзыва прав субъектов логического доступа при изменении их должностных обязанностей

О

О

О

УЗП.13

Контроль прекращения предоставления логического доступа и блокирование учетных записей при истечении периода (срока) предоставления логического доступа

О

Т

Т

УЗП.14

Установление фактов неиспользования субъектами логического доступа предоставленных им прав на осуществление логического доступа на протяжении периода времени, превышающего 90 дней

О

Т

Н

УЗП.15

Установление фактов неиспользования субъектами логического доступа предоставленных им прав на осуществление логического доступа на протяжении периода времени, превышающего 45 дней

Н

Н

Т

УЗП.16

Реализация контроля со стороны распорядителя логического доступа целесообразности дальнейшего предоставления прав логического доступа, не использованных субъектами на протяжении периода времени, указанного в мерах УЗП.14, УЗП.15 настоящей таблицы

О

О

О

УЗП.17

Реализация возможности определения состава предоставленных прав логического доступа для конкретного ресурса доступа

О

Т

Т

УЗП.18

Реализация возможности определения состава предоставленных прав логического доступа для конкретного субъекта логического доступа

О

Т

Т

УЗП.19

Определение состава ролей, связанных с выполнением операции (транзакции) в АС, имеющих финансовые последствия для финансовой организации, клиентов и контрагентов, и ролей, связанных с контролем выполнения указанных операций (транзакций), запрет выполнения указанных ролей одним субъектом логического доступа

О

Т

Т

УЗП.20

Реализация правил управления правами логического доступа, обеспечивающих запрет совмещения одним субъектом логического доступа ролей, предусмотренных мерой УЗП.19 настоящей таблицы

О

Т

Т

УЗП.21

Реализация правил управления правами логического доступа, обеспечивающих запрет совмещения одним субъектом логического доступа следующих функций:

- эксплуатация и (или) контроль эксплуатации ресурса доступа, в том числе АС, одновременно с использованием по назначению ресурса доступа в рамках реализации бизнес-процесса финансовой организации;

- создание и (или) модернизация ресурса доступа, в том числе АС, одновременно с использованием по назначению ресурса доступа в рамках реализации бизнес-процесса финансовой организации;

- эксплуатация средств и систем защиты информации одновременно с контролем эксплуатации средств и систем защиты информации;

- управление учетными записями субъектов логического доступа одновременно с управлением правами субъектов логического доступа

Н

О

Т

7.2.1.4 Базовый состав мер по регистрации событий защиты информации и контролю использования предоставленных прав логического доступа применительно к уровням защиты информации приведен в таблице 3.


Таблица 3 - Базовый состав мер по регистрации событий защиты информации и контролю использования предоставленных прав логического доступа

Условное обозначение и номер меры

Содержание мер системы защиты информации

Уровень защиты информации

3

2

1

УЗП.22

Регистрация событий защиты информации, связанных с действиями, и контроль действий эксплуатационного персонала, обладающего привилегированными правами логического доступа, позволяющими осуществить деструктивное воздействие, приводящие к нарушению выполнения бизнес-процессов или технологических процессов финансовой организации

Н

Т

Т

УЗП.23

Регистрация событий защиты информации, связанных с действиями, и контроль действий эксплуатационного персонала и пользователей, обладающих правами логического доступа, в том числе в АС, позволяющими осуществить операции (транзакции), приводящие к финансовым последствиям для финансовой организации, клиентов и контрагентов

Т

Т

Т

УЗП.24

Регистрация событий защиты информации, связанных с действиями, и контроль действий эксплуатационного персонала, обладающего правами по управлению логическим доступом

Т

Т

Т

УЗП.25

Регистрация событий защиты информации, связанных с действиями по управлению учетными записями и правами субъектов логического доступа

Т

Т

Т

УЗП.26

Регистрация событий защиты информации, связанных с действиями, и контроль действий эксплуатационного персонала, обладающего правами по управлению техническими мерами, реализующими многофакторную аутентификацию

Н

Т

Т

УЗП.27

Регистрация событий защиты информации, связанных с действиями, и контроль действий эксплуатационного персонала, обладающего правами по изменению параметров настроек средств и систем защиты информации, параметров настроек АС, связанных с защитой информации

Н

Т

Т

УЗП.28

Регистрация событий защиты информации, связанных с действиями, и контроль действий эксплуатационного персонала, обладающего правами по управлению криптографическими ключами

Т

Т

Т

УЗП.29

Закрепление АРМ пользователей и эксплуатационного персонала за конкретными субъектами логического доступа

Н

Н

О

7.2.2 Подпроцесс "Идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа"

7.2.2.1 Применяемые финансовой организацией меры по идентификации, аутентификация, авторизации (разграничению доступа) при осуществлении логического доступа должны обеспечивать:

- идентификацию и аутентификацию субъектов логического доступа;

- организацию управления и организацию защиты идентификационных и аутентификационных данных;

- авторизацию (разграничение доступа) при осуществлении логического доступа;

- регистрацию событий защиты информации, связанных с идентификацией, аутентификацией и авторизацией при осуществлении логического доступа.

При реализации подпроцесса "Идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа" рекомендуется использовать ГОСТ Р 50739.