Энциклопедия информационной безопасности. По всем вопросам обращайтесь по адресу swan@wikisec.ru
УПД.13: различия между версиями
Wikiadmin (обсуждение | вклад) (Новая страница: «'''УПД.13''' - Реализация защищенного удаленного доступа субъектов доступа к объектам досту...») |
Wikiadmin (обсуждение | вклад) м (Замена текста — «Меры по обеспечению безопасности ПДн]» на «Меры защиты информации в государственных информационных системах]») |
||
| Строка 43: | Строка 43: | ||
| 1,2,3,5 | | 1,2,3,5 | ||
|} | |} | ||
| − | [[Категория: Меры | + | [[Категория: Меры защиты информации в государственных информационных системах]] |
Версия 11:24, 7 октября 2021
УПД.13 - Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети
Описание
Оператором персональных данных должна обеспечиваться защита персональных данных при доступе пользователей (процессов запускаемых от имени пользователей) и (или) иных субъектов доступа к объектам доступа информационной системы персональных данных (ИСПДн) через информационно-телекоммуникационные сети, в том числе сети связи общего пользования, с использованием стационарных и (или) мобильных технических средств (защита удаленного доступа). Защита удаленного доступа должна обеспечиваться при всех видах доступа (беспроводной, проводной (коммутируемый), широкополосный и иные виды доступа) и включает:
- установление (в том числе документальное) видов доступа, разрешенных для удаленного доступа к объектам доступа ИСПДн;
- ограничение на использование удаленного доступа в соответствии с задачами (функциями) ИСПДн, для решения которых такой доступ необходим, и предоставление удаленного доступа для каждого разрешенного вида удаленного доступа в соответствии с УПД.2;
- предоставление удаленного доступа только тем пользователям, которым он необходим для выполнения установленных должностных обязанностей (функций);
- мониторинг и контроль удаленного доступа на предмет выявления несанкционированного удаленного доступа к объектам доступа ИСПДн;
- контроль удаленного доступа пользователей (процессов запускаемых от имени пользователей) к объектам доступа ИСПДн до начала информационного взаимодействия с ИСПДн (передачи персональных данных).
Правила и процедуры применения удаленного доступа регламентируются в организационно-распорядительных документах оператора персональных данных по защите персональных данных.
Требования к усилению УПД.13:
- в ИСПДн для мониторинга и контроля удаленного доступа должны применяться автоматизированные средства (дополнительные программные или программно-технические средства);
- в ИСПДн используется ограниченное (минимально необходимое) количество точек подключения к ИСПДн при организации удаленного доступа к объектам доступа ИСПДн;
- в ИСПДн исключается удаленный доступ от имени привилегированных учетных записей (администраторов) для администрирования ИСПДн и ее системы защиты персональных данных;
- в ИСПДн при удаленном доступе обеспечивается применение в соответствии с законодательством Российской Федерации криптографических методов защиты информации;
- в ИСПДн обеспечивается мониторинг и контроль удаленного доступа на предмет выявления установления несанкционированного соединения технических средств (устройств) с ИСПДн;
- в ИСПДн должен обеспечиваться запрет удаленного доступа с использованием сетевых технологий и протоколов, определенных оператором по результатам анализа защищенности в соответствии с АНЗ.1 как небезопасных.
| Мера защиты персональных данных | Уровень защищенности персональных данных | |||
|---|---|---|---|---|
| 4 | 3 | 2 | 1 | |
| УПД.13 | + | + | + | + |
| Усиление УПД.13 | 2,3 | 2,3,5 | 1,2,3,5 | |
