УТВЕРЖДЕНО Генеральный директор « ___ » ___________ 2022 г. Процедуры внутреннего контроля при обеспечении безопасности защищаемой информации, выполнению требований законодательства по защите информации, а также по контролю уровня защищенности и выполнения мер по защите информации в ООО « » № п/п 1. 1. 2. Наименование процедуры внутреннего контроля Ответственный Процедуры или инструменты, применяемые для выполнения мероприятия Периодичность Пользователи, учетные записи, парольная политика Контроль соответствия Ответственный 1. Запросить в Отделе кадров Ежеквартально фактического состава за ИБ или у ответственного лица разблокированных учетных Общества штатное записей фактическому расписание и информацию составу легальных об работниках внешних субъектов логического подрядных организаций. доступа (УЗП.2, УЗП.4) 2. Запросить у распорядителя логического доступа Контроль отсутствия список субъектов доступа незаблокированных (пользователей) с перечнем учетных записей: ресурсов доступа для - уволенных работников; каждого субъекта доступа. работников, отсутствующих на рабочем месте более 90 Критерий выполнения ПВК 1. Учетные записи пользователей и эксплуатационного персонала должны быть уникальны и персонифицированы. 2. Списки должны быть идентичны. Дата и подпись проведения проверки № п/п 3. 4. 5. 6. Наименование процедуры внутреннего контроля Ответственный календарных дней; - работников внешних (подрядных) организаций, прекративших свою деятельность в Обществе (УЗП.3) Осуществление логического доступа пользователями и эксплуатационным персоналом под уникальными и персонифицированными учетными записями (УЗП.1) Контроль необходимости Ответственный отзыва прав субъектов за ИБ логического доступа при изменении их должностных обязанностей (УЗП.12) Контроль соответствия фактических прав логического доступа эталонной информации о предоставленных правах логического доступа (УЗП.8, УЗП.9) Контроль прекращения предоставления Ответственный за ИБ Процедуры или инструменты, применяемые для выполнения мероприятия 1. Запросить у распорядителя логического доступа список субъектов доступа (пользователей) с перечнем ресурсов доступа для каждого субъекта доступа. 2. Запросить у администратора каждой учетной системы, список пользователей имеющих доступ и их роль и фактические права доступа. 3. Сверить полученные списки. 1. Запросить у администратора АС список Периодичность Критерий выполнения ПВК Ежеквартально Список прав доступа каждого пользователя должен соответствовать его должностным обязанностям. Ежеквартально Оба списка должны быть идентичны как по ФИО пользователя так и по составу прав доступа. Ежеквартально Списки должны быть идентичны. Дата и подпись проведения проверки № п/п Наименование процедуры внутреннего контроля Ответственный логического доступа и блокирование учетных записей при истечении периода (срока) предоставления логического доступа (УЗП.13) 7. 8. 9. Контроль со стороны распорядителя логического доступа целесообразности дальнейшего предоставления прав логического доступа, не использованных субъектами на протяжении 90 дней (УЗП.16) Реализация возможности определения состава предоставленных прав логического доступа для конкретного ресурса доступа (УЗП.17) Реализация возможности определения состава предоставленных прав логического доступа для конкретного субъекта логического доступа (УЗП.18) Проведение проверки на возможность Процедуры или инструменты, применяемые для выполнения мероприятия Периодичность Критерий выполнения ПВК пользователей, которые заходили в ИС в последние 90 дней. 2. Сверить со списком субъектов доступа по данному ресурсу доступа, есть ли такие субъекты, которых нет в предоставленном списке. Ответственный за ИБ 1. Запросить у распорядителя логического доступа список субъектов доступа (пользователей) с перечнем ресурсов доступа для каждого субъекта доступа. Ежеквартально Для каждого пользователя должны быть определены: Перечень ресурсов доступа. Роль и состав прав доступа к каждой АС. Ответственный за ИБ 1. Для проведения проверки запросить у Ежеквартально У сотрудника с пользовательской учетной Дата и подпись проведения проверки № п/п 10. 11. Наименование процедуры внутреннего контроля Ответственный бесконтрольного самостоятельного расширения пользователями предоставленных им прав логического доступа (УЗП.10) Проведение проверки на наличие возможности у пользователя бесконтрольного изменения параметров настроек средств и систем защиты информации, параметров настроек АС, связанных с защитой информации (УЗП.11) Контроль перечня лиц, которым предоставлено право самостоятельного физического доступа в помещения (ФД.2, ФД.6) Ответственный за ИБ Процедуры или инструменты, применяемые для выполнения мероприятия Периодичность администратора каждой АС временную пользовательскую учетную запись для каждой АС. 2. Используя временную пользовательскую учетную запись войти в каждую АС и проверить: - возможность пользователя расширить себе права доступа; - возможность пользователя изменить параметры настроек СЗИ (отключение, автообновление); - для АС, связанных с защитой информации, проверить возможность пользователя изменить параметры настроек таких АС (например, отключить работу антивируса). 1. Запросить в Отделе кадров Ежеквартально или у ответственного лица Общества информацию об актуальном штате сотрудников (в зависимости от размера компании и количества помещений) 2. Запросить у распорядителя физического доступа Реестр сотрудников, имеющих право Критерий выполнения ПВК записью должна отсутствовать возможность самовольного расширения прав и изменения настроек систем защиты информации Списки должны быть идентичны Дата и подпись проведения проверки № п/п Наименование процедуры внутреннего контроля Ответственный Процедуры или инструменты, применяемые для выполнения мероприятия Периодичность Критерий выполнения ПВК самостоятельного доступа в помещение. 3. Сверить с реестром лиц, которым предоставлено право самостоятельного физического доступа в помещения. 12. 13. Проверка регистрации событий защиты информации, связанные с действиями эксплуатационного персонала и пользователей, обладающих правами логического доступа, в том числе в АС, позволяющими осуществить операции (транзакции), приводящие к финансовым последствиям для Общества, клиентов и контрагентов (УЗП.23) Проверка регистрации событий защиты информации, связанные с действиями эксплуатационного персонала, обладающего правами по управлению логическим доступом (УЗП.24) Ответственный за ИБ 1. Получить доступ к журналам каждой АС. 2. Проверить, что журналы активные и ведется регистрация действий пользователя в них, а именно: есть записи предоставления или отключения доступа к АС, есть записи по финансовым операциям. 3. Проверить, что в журнале есть записи действий администраторов АС, предоставляющих права доступа и имеющих права на управление ключами ЭДО. Ежеквартально События защиты информации, указанные в УЗП.23-УЗП.28 должны регистрироваться в журналах каждой АС Дата и подпись проведения проверки № п/п 14. 15. 16. 17. 18. Наименование процедуры внутреннего контроля Проверка регистрации событий защиты информации, связанные с действиями по управлению учетными записями и правами субъектов логического доступа (УЗП.25) Проверка регистрации событий защиты информации, связанные с действиями эксплуатационного персонала, обладающего правами по управлению криптографическими ключами (УЗП.28) Идентификация и однофакторная аутентификация пользователей (РД.1) Идентификация и однофакторная аутентификация эксплуатационного персонала (РД.2) Аутентификация программных сервисов, осуществляющих логический доступ с использованием технических учетных Ответственный Ответственный за ИБ Процедуры или инструменты, применяемые для выполнения мероприятия 1. Провести проверку для каждого ресурса доступа обязательность ввода логина и пароля для субъектов логического доступа. 2. Пароль должен выводится без указания символов и скрыт Астериксами 3. Осуществить попытку входа в АС и АРМ (ОС) без ввода логина и пароля. 4. Запросить реестр стандартных, установленных разработчиком АС – «по умолчанию» логинов и паролей. 5. Осуществить попытку входа в Периодичность Ежеквартально Критерий выполнения ПВК 1. Взаимодействие с каждой АС должно осуществляться по логину и паролю. 2. Пароли должны быть скрыты. 3. Возможность входа без ввода учетных данных, а также с использованием стандартных учетных данных (установленных разработчиком АС – «по умолчанию») должна отсутствовать. Дата и подпись проведения проверки № п/п 19. 20. 21. 22. Наименование процедуры внутреннего контроля записей (РД.5) Запрет использования учетных записей субъектов логического доступа с незаданными аутентификационными данными или заданными по умолчанию разработчиком ресурса доступа, в том числе разработчиком АС (РД.9) Запрет на использование групповых, общих и стандартных учетных записей и паролей, а также прочих подобных методов идентификации и аутентификации, не позволяющих определить конкретного субъекта доступа (РД.10) Сокрытие (неотображение) паролей при их вводе субъектами доступа (РД.8) Проверка блокировки учетной записи пользователей после выполнения ряда неуспешных последовательных попыток аутентификации на период времени не менее 30 мин. Ответственный Процедуры или инструменты, применяемые для выполнения мероприятия Периодичность Критерий выполнения ПВК АС и АРМ (ОС) с использованием стандартных (установленных разработчиком АС – «по умолчанию») идентификационных данных - логина и пароля. Ответственный за ИБ 1. Используя пользовательскую учетную запись по всем АС осуществить ввод неверного пароля 5 раз подряд. 2. Проверить происходит ли блокировка учетной записи на 30 мин. после неверного ввода пароля 5 раз подряд. Ежеквартально Должна происходить блокировка учетной записи после ряда неверных попыток ввода учетных данных. Дата и подпись проведения проверки № п/п 23. 24. Наименование процедуры внутреннего контроля (РД.11) Обеспечение возможности выполнения субъектом логического доступа работниками Общества процедуры принудительного прерывания сессии логического доступа и (или) приостановки осуществления логического доступа (с прекращением отображения на мониторе АРМ информации, доступ к которой получен в рамках сессии осуществления логического доступа) (Р.13) Автоматическое прерывание сессии логического доступа (приостановка осуществления логического доступа) по истечении установленного времени бездействия (неактивности) субъекта логического доступа, не превышающего 15 мин., с прекращением Ответственный Процедуры или инструменты, применяемые для выполнения мероприятия Периодичность Критерий выполнения ПВК Ответственный за ИБ На каждом АРМ сотрудника проверить функционирование комбинации клавиш комбинации Win + «L» для принудительного прерывания сессии логического доступа и приостановки осуществления логического доступа с прекращением отображения на мониторе АРМ информации. Ежеквартально Рабочая сессия должна быть прекращена. Для продолжения работы с АРМ необходимо заново ввести учетные данные пользователя. Ответственный за ИБ На каждом АРМ сотрудника проверить на работоспособность Прерывания рабочей сессии при простое более 15 минут. Ежеквартально 1. Рабочая сессия с АРМ должна быть прекращена. 2. Рабочая сессия с запущенной АС при прерывании АРМ также должна быть прекращена. 3. Для продолжения работы с АРМ необходимо заново ввести учетные данные пользователя. Для продолжения работы с АС и ИС, запущенными до Дата и подпись проведения проверки № п/п 25. 26. 27. Наименование процедуры внутреннего контроля отображения на мониторе АРМ информации, доступ к которой получен в рамках сессии осуществления логического доступа (Р.14) Выполнение процедуры повторной аутентификации для продолжения осуществления логического доступа после его принудительного или автоматического прерывания (приостановки осуществления логического доступа). (Р.15) Использование на АРМ субъектов логического доступа встроенных механизмов контроля изменения базовой конфигурации оборудования (пароль на изменение параметров конфигурации системы, хранящихся в энергонезависимой памяти) (Р.16) Проверка реализации запрета на использование технологии Ответственный Процедуры или инструменты, применяемые для выполнения мероприятия Периодичность Критерий выполнения ПВК прерывания рабочей сессии, необходимо заново выполнить авторизацию. Ответственный за ИБ 1. Зайти на каждую АРМ пользователя и выполнить перезагрузку рабочей станции 2. Осуществить вход в BIOS Ежеквартально При попытке входа в BIOS должен появиться запрос пароля необходимый для входа. Ответственный за ИБ 1. Проверить есть ли в Обществе рабочие станции с установленными ОС Ежеквартально 1. Аутентификационные данные не должны сохраняться в открытом Дата и подпись проведения проверки № п/п 28. 29. 30. 31. 32. Наименование процедуры внутреннего контроля аутентификации с сохранением аутентификационных данных в открытом виде в СВТ (РД.17) Проверка реализации запрета на передачу аутентификационных данных в открытом виде по каналам и линиям связи и их передачу куда-либо, кроме средств или систем аутентификации (РД.18) Смена паролей пользователей не реже одного раза в год (РД.19) Использование пользователями паролей длиной не менее восьми символов (РД.21) Использование при формировании паролей субъектов логического доступа символов, включающих буквы (в верхнем и нижнем регистрах) и цифры (РД.23) Обеспечение возможности самостоятельной смены субъектами логического доступа своих паролей Ответственный Ответственный за ИБ Процедуры или инструменты, применяемые для выполнения мероприятия Периодичность Критерий выполнения ПВК отличными от Windows и Linux. 2. Пройтись по списку ИС и запросить у разработчика ИС передаются ли аутентификационные данные в открытом виде. виде. 2. Аутентификационные данные не должны передаваться в открытом виде. 1. Запросить у Один раз в год администратора каждой ИС информацию о том настроена ли техническими средствами АРМ пользователей, АС смена паролей 1 раз в год. 2. Провести проверку паролей пользователей • длина не менее 8 символов. • наличие символов включающих буквы (в верхнем и нижнем регистрах) и цифры 3. Проверить возможность самостоятельной смены паролей пользователем для АРМ и АС без 1. Пароли пользователей должны меняться не реже 1 раза в год. 2. Пароли должны соответствовать требования РД.21 и РД.23. 3. У пользователя должна быть реализована возможность менять пароли самостоятельно. Дата и подпись проведения проверки № п/п Наименование процедуры внутреннего контроля Ответственный (РД.25) 33. 34. 35. 36. 37. Смена паролей эксплуатационного персонала не реже одного раза в квартал (РД.20) Использование эксплуатационным персоналом паролей длиной не менее шестнадцати символов (РД.22) Хранение копий аутентификационных данных эксплуатационного персонала на выделенных МНИ или на бумажных носителях (РД.26) Реализация защиты копий аутентификационных данных эксплуатационного персонала от НСД при их хранении на МНИ или бумажных носителях (РД.27) Регистрация персонификации, выдачи (передачи) и уничтожения персональных технических устройств аутентификации, Процедуры или инструменты, применяемые для выполнения мероприятия Периодичность Критерий выполнения ПВК необходимости изменения прав доступа. Ответственный за ИБ 1. Открыть сейф, проверить пароли администраторов на МНИ или бумажных носителях: длина не менее 16 символов. наличие символов включающих буквы (в верхнем и нижнем регистрах) и цифры дата последней смены пароля не позднее 1 квартала от текущей даты (дата последней смены пароля указана напротив пароля). 2. Провести попытку входа под данными паролями, она должна быть успешна. Ежеквартально 1. Пароли эксплуатационного персонала должны меняться не реже 1 раза в квартал. 2.Пароли должны соответствовать требования РД.22. 3. Пароли эксплуатационного персонала должны храниться в сейфе на МНИ или бумажном носителе. Ответственный за ИБ 1. Запросить у распорядителя логического доступа перечень технических устройств, предназначенных для многофакторной аутентификации Ежеквартально 1. В Обществе должен вестись перечень выданных тех.устройств, предназначенных для многофакторной Дата и подпись проведения проверки № п/п Наименование процедуры внутреннего контроля Ответственный реализующих многофакторную аутентификацию (РД.28) 38. Авторизация логического доступа к ресурсам доступа, в том числе АС (РД.30) Ответственный за ИБ 39. Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод) при разграничении логического доступа к ресурсам доступа (РД.31) Реализация необходимых типов (чтение, запись, выполнение или иной тип) и правил разграничения логического доступа к ресурсам доступа, в том числе АС (РД.33) Запрет реализации пользователями бизнеспроцессов и Ответственный за ИБ 40. 41. Процедуры или инструменты, применяемые для выполнения мероприятия (в том числе перечень криптоключей) 2. Сверить фактическое наличие технических устройств, выданных пользователям для осуществления многофакторной аутентификации. 3. Проверить записи о выдаче технических устройств, предназначенных для многофакторной аутентификации Проверить для каждой АС обязательность ввода логина и пароля для субъектов логического доступа. Периодичность Критерий выполнения ПВК аутентификации. 2. ФИО сотрудника, кому выдано тех.устройство, предназначенное для многофакторной аутентификации должен соответствовать ФИО фактического пользователя. Ежеквартально Логический доступ к АРМ и каждой АС должен осуществляться только по логину и паролю. Ежеквартально Учетные записи пользователей выполняющих бизнес- Указанный контроль Реализован выше в соответствии с п. 7 Ответственный за ИБ 1. Запросить у распорядителя логического доступа список субъектов Дата и подпись проведения проверки № п/п 42. 43. 44. 45. Наименование процедуры внутреннего контроля Ответственный технологических процессов Общества с использованием учетных записей эксплуатационного персонала, в том числе в АС (РД.34) Запрет выполнения пользователями бизнеспроцессов с использованием привилегированных прав логического доступа, в том числе работы пользователей с правами локального администратора АРМ (РД.35) Размещение устройств Ответственный вывода (отображения) за ИБ информации, исключающее ее несанкционированный просмотр (РД.38) Регистрация осуществления субъектами логического доступа идентификации и аутентификации (РД.40) Регистрация авторизации, завершения и (или) Ответственный за ИБ Процедуры или инструменты, применяемые для выполнения мероприятия Периодичность доступа (пользователей) с перечнем ресурсов доступа для каждого пользователя. 2. Сравнить перечень прав доступа пользователей, обеспечивающих реализацию бизнес процессов и эксплуатационного персонала. Проверить возможность несанкционированного просмотра информации с устройств вывода пользователей. Критерий выполнения ПВК процессы не должны иметь права эксплуатационного персонала. Ежеквартально 1. Провести действия по Ежеквартально входу, завершению работы, прерыванию работы и проверить корректность регистрации указанных действий в Журналах АС и АРМ. Рабочие места пользователей должны быть размещены таким образом, чтобы исключалась возможность просмотра информации с устройств вывода посторонними лицами. События защиты информации, указанные в РД.40 и РД.41 должны регистрироваться в журналах каждой АС и АРМ. Дата и подпись проведения проверки № п/п Наименование процедуры внутреннего контроля Ответственный прерывания (приостановки) осуществления эксплуатационным персоналом и пользователями логического доступа, в том числе в АС (РД.41) 46. 47. 48. Учет созданных, используемых и (или) эксплуатируемых ресурсов доступа (ИУ.1) Контроль фактического состава созданных, используемых и (или) эксплуатируемых ресурсов доступа (баз данных, сетевых файловых ресурсов, виртуальных машин) и их корректного размещения в сегментах вычислительных сетей Общества (ИУ.4) Учет используемых и (или) эксплуатируемых объектов доступа (ИУ.2) Процедуры или инструменты, применяемые для выполнения мероприятия Периодичность Критерий выполнения ПВК 2. Проверить внесение в «Журналы» АС и АРМ действий пользователей по: - осуществлению входа в АС и АРМ с вводом учетных данных; - завершению работы пользователем в АС и АРМ; - прерыванию (приостановке) работы в АС, ИС и АРМ; Ответственный за ИБ 1. Запросить у распорядителя логического доступа перечень всех ресурсов доступа в Обществе. 2. Проверить размещение каждого ресурса доступа в сегментах вычислительной сети Обществе. Ежеквартально Все ресурсы доступа должны быть учтены. В перечне ресурсов доступа должно быть указано точное размещение ресурса доступа в сегментах вычислительных сетей Общества. Ответственный за ИБ 1. Запросить у распорядителя логического доступа перечень всех объектов доступа в Обществе. 2. Сверить фактически используемые объекты Ежеквартально Перечень всех объектов доступа в Обществе должен соответствовать фактически используемым объектам доступа. Дата и подпись проведения проверки № п/п Наименование процедуры внутреннего контроля Ответственный Процедуры или инструменты, применяемые для выполнения мероприятия Периодичность Критерий выполнения ПВК доступа с перечнем. 49. 50. 51. Реализация сетевого взаимодействия и сетевой изоляции на уровне не выше третьего (сетевой) по семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1, внутренних вычислительных сетей Общества и сети Интернет (СМЭ.15) Межсетевое экранирование внутренних вычислительных сетей Общества, включая фильтрацию данных на сетевом и прикладном уровнях семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1 (СМЭ.16) Реализация и контроль информационного взаимодействия внутренних Ответственный за ИБ 1. Запросить перечень сетевого оборудования. 2. Проверить список сетевого оборудования на включенные настройки фильтрации LP3 (на сетевом уровне) Ежеквартально Настройки LP3 должны быть включены. Ответственный за ИБ 1. Запросить список АС с портами и URL-ссылкам, которые используются для внешнего взаимодействия. 2. Запросить правила межсетевого экрана в соответствии с которыми осуществляется, фильтрация входящих и исходящих пакетов осуществляется на основе информации, содержащейся в следующих полях TCP- и IPзаголовков пакетов: IP-адрес отправителя; IP-адрес получателя; порт отправителя; порт получателя.) 3. Проверить соблюдаются Ежеквартально Правилами межсетевого экрана должна быть включена фильтрация входящих и исходящих пакетов на сетевом и прикладном уровнях. Дата и подпись проведения проверки № п/п Наименование процедуры внутреннего контроля Ответственный вычислительных сетей Общества и сети Интернет в соответствии с установленными правилами и протоколами сетевого взаимодействия (СМЭ.17) 52. 53. Сокрытие топологии внутренних вычислительных сетей Общества (СМЭ.18) Реализация сетевого взаимодействия внутренних Ответственный за ИБ Процедуры или инструменты, применяемые для выполнения мероприятия Периодичность правила фильтрации на сетевом уровне межсетевого взаимодействия в соответствии с правилами фильтрации установленными в Обществе. 4. Запросить правила межсетевого экрана или иной прикладной программы в соответствии с которыми реализована фильтрация пакетов на прикладном уровне (фильтрация всех входящих и исходящих пакетов на прикладном уровне (уровне приложений – верхний уровень сетевой модели), анализ содержимого данных, например, адрес URL, содержащийся в HTTP-сообщении, или команду, содержащуюся в FTP-сообщении.) 5. Проверить соблюдаются правила фильтрации на прикладном уровне межсетевого взаимодействия в соответствии с правилами фильтрации установленными в Обществе. 1. Запросить у ответственного Ежеквартально за ИТ список маршрутизаторов 2. Проверить включена ли на каждом маршрутизаторе или на другом сетевом оборудовании функция Критерий выполнения ПВК 1. Доступ в Интернет должен осуществляться только через те точки доступа, которые есть в перечне. 2. На каждом маршрутизаторе или на Дата и подпись проведения проверки № п/п 54. 55. Наименование процедуры внутреннего контроля вычислительных сетей Общества и сети Интернет через ограниченное количество контролируемых точек доступа (СМЭ.19) Регистрация изменений параметров настроек средств и систем защиты информации, обеспечивающих реализацию сегментации, межсетевого экранирования и защиты вычислительных сетей Общества (СМЭ.21) Контроль и обеспечение возможности блокировки нежелательных сообщений электронной почты (SPAM) (ВСА.10) Ответственный Процедуры или инструменты, применяемые для выполнения мероприятия Периодичность NAT Ответственный за ИБ Ответственный за ИБ 1. Запросить перечень систем Ежеквартально межсетевого экранирования и защиты вычислительных сетей. 2. Проверить записи в Журналах систем межсетевого экранирования и защиты вычислительных сетей наличие регистрации действий по изменению настроек обеспечивающих сегментацию и фильтрацию данных при взаимодействии внутренней сети Общества с сетью Интернет 1. Запросить перечень Ежеквартально программного обеспечения или настроек почтового клиента реализующие блокировку нежелательных сообщений электронной почты (SPAM) 2. Проверить включена ли блокировка нежелательных Критерий выполнения ПВК другом сетевом оборудовании должна быть включена функция NAT Действия по изменению настроек обеспечивающих сегментацию и фильтрацию данных при взаимодействии внутренней сети Обществаи с сетью Интернет должны записываться в журнал систем межсетевого экранирования. Блокировка нежелательных сообщений электронной почты (SPAM) должна быть включена Дата и подпись проведения проверки № п/п Наименование процедуры внутреннего контроля 56. Применение сетевых протоколов, обеспечивающих защиту подлинности сетевого соединения, контроль целостности сетевого взаимодействия и реализацию технологии двухсторонней аутентификации при осуществлении логического доступа с использованием телекоммуникационных каналов и (или) линий связи, не контролируемых Обществом (ЗВС.1) 57. Реализация защиты информации от раскрытия и модификации, применение двухсторонней аутентификации при ее передаче с использованием сети Интернет, телекоммуникационных каналов и (или) линий связи, не контролируемых Обществом (ЗВС.2) Аутентификация устройств 58. Ответственный Ответственный за ИБ Ответственный Процедуры или инструменты, применяемые для выполнения мероприятия сообщений электронной почты (SPAM) 1. Запросить информацию о применении в Обществе сетевых протоколов - IPsec или иных обеспечивающих двустороннюю аутентификацию при осуществлении удаленного логического доступа. 2. Проверить можно ли подключиться к серверу без использования VPN. Проверить реализованы ли на Периодичность Критерий выполнения ПВК Ежеквартально 1. В Обществе должны применяться сетевые протоколы, обеспечивающих защиту подлинности сетевого соединения. 2. Возможность подключения к серверу Общества без использования VPN должна отсутствовать. 3. При осуществлении подключения к серверу или рабочей станции должны применяться технологии SSL (или иные) для обеспечения двусторонней аутентификации Ежеквартально 1. На точках беспроводного Дата и подпись проведения проверки № п/п 59. Наименование процедуры внутреннего контроля Ответственный Процедуры или инструменты, применяемые для выполнения мероприятия доступа техническими за ИБ средствами, реализующими функции беспроводного сетевого соединения (точками доступа по протоколу Wi-Fi) (ЗБС.1) сетевом оборудовании – точке беспроводного доступа следующие правила: - аутентификация пользователей для получения беспроводного доступа осуществляется с использованием логина и пароля; - аутентификация устройств доступа осуществляется по MACадресам - функция WPS (Wi-Fi Protected Setup) отключена; - имя WiFi сети скрыто путем блокировки широковещательной передачи SSID. 1. Попробовать подключиться с мобильного телефона, не подключенного к сети Общества к беспроводной сети без пароля. 2. Попробовать подключиться с мобильного телефона, не подключенного к сети Общества к беспроводной сети с паролем, полученным от Ответственного за ИТ. Защита информации от раскрытия и модификации Запросить у ответственного за ИТ список маршрутизаторов, Ответственный за ИБ Периодичность Критерий выполнения ПВК доступа должны быть реализованы правила аутентификации, указанные в настоящем пункте. 2. Подключение к беспроводной точке доступа без использования пароля или с использованием устройства, MAC-адрес которого не внесен в список доверенных устройств, не должно осуществляться. Ежеквартально Каждый маршрутизатор, обеспечивающий Дата и подпись проведения проверки № п/п Наименование процедуры внутреннего контроля Ответственный при ее передаче с использованием протоколов беспроводного доступа (ЗБС.2) 60. 61. Контроль отсутствия и обеспечение оперативного устранения известных (описанных) уязвимостей защиты информации, использование которых может позволить осуществить несанкционированное (неконтролируемое) информационное взаимодействие между внутренними вычислительными сетями Общества и сетью Интернет (ЦЗИ.2) Контроль отсутствия и обеспечение оперативного устранения известных Ответственный за ИБ Процедуры или инструменты, применяемые для выполнения мероприятия обеспечивающих беспроводной доступ к сети: 1. Проверить соответствует ли маршрутизатор (коммутатор), осуществляющий беспроводное сетевое соединение стандарту аутентификации 802.11i (WPA2 Wi-Fi Protected Access 2) в корпоративном режиме Enterprise; 2. Применяется ли на маршрутизаторе (коммутатор) алгоритм шифрования AES (Advanced Encryption Standard) 1. Открыть программный продукт (наименование ПО), который используются для сканирования (описанных) известных уязвимостей (далее – сканера уязвимостей). 2. Проверить журнал сканера уязвимостей, где содержится информация: - об обновлениях базы уязвимостей сканера; - о проведении сканирования на наличие уязвимостей; 3. Запросить у ответственного лица отчеты о выявленных нарушениях при проведении сканирования. 4. Запросить у ответственного лица, информацию об устранении Периодичность Критерий выполнения ПВК беспроводной доступ к сети должен соответствовать требованиям указанным в настоящем пункте. Ежеквартально 1. Общество должно использовать сканер уязвимости для сканирования (описанных) известных уязвимостей. 2. Проверка сканером должна проводиться только после обновления базы уязвимостей сканера. 3. Информация о проведенных проверках, выявленных уязвимостях и устраненных уязвимостях должна храниться в форме Отчета, составленного ответственным сотрудником. Дата и подпись проведения проверки № п/п 62. 63. Наименование процедуры внутреннего контроля (описанных) уязвимостей защиты информации, использование которых может позволить осуществить несанкционированный логический доступ к ресурсам доступа, размещенным в вычислительных сетях Общества, подключенных к сети Интернет (ЦЗИ.4) Контроль отсутствия и обеспечение оперативного устранения известных (описанных) уязвимостей защиты информации, использование которых может позволить осуществить несанкционированный удаленный доступ (ЦЗИ.5) Контроль размещения и своевременного обновления на серверном и сетевом оборудовании ПО средств и систем защиты информации, прикладного ПО, ПО АС, системного ПО и сигнатурных баз средств защиты информации, в том числе с Ответственный Процедуры или инструменты, применяемые для выполнения мероприятия Периодичность Критерий выполнения ПВК выявленных нарушений. Ответственный за ИБ 1. Запросить у распорядителя логического доступа перечень всех ресурсов доступа Общества. 2. Проверить в перечне ресурсов доступа записи о периодичности обновления, рекомендуемую разработчиком ПО. (если Ежеквартально 1. ПО средств и систем защиты информации, прикладного ПО, ПО АС, системного ПО и сигнатурных баз средств защиты информации должно своевременно обновляться. 2. В Журналах АС и разрешенного ПО должна Дата и подпись проведения проверки № п/п Наименование процедуры внутреннего контроля Ответственный целью устранения выявленных уязвимостей защиты информации (ЦЗИ.12) 64. 65. Контроль размещения и своевременного обновления на АРМ пользователей и эксплуатационного персонала ПО средств и систем защиты информации, прикладного ПО, ПО АС и системного ПО, в том числе с целью устранения выявленных уязвимостей защиты информации. (ЦЗИ.13) Контроль работоспособности (тестирование) и правильности Процедуры или инструменты, применяемые для выполнения мероприятия Периодичность такое обновление осуществляется) 3. Запросить у ответственного за ИТ дату последнего обновления ПО. Ответственный за ИБ 1. Проверить каждую АРМ пользователя и эксплуатационного персонала на наличие установленного антивируса. 2. Проверить включенные настройки антивируса на автоматическое обновление. Ежеквартально Ответственный за ИБ 1. Запросить у Ответственного за ИТ информацию о наличии автономной не входящей в Ежеквартально Критерий выполнения ПВК быть указанна периодичность обновления (автоматически или иной срок рекомендуемый разработчиком ПО). 3. Дата последнего обновления ПО средств и систем защиты информации, прикладного ПО, ПО АС, системного ПО должна соответствовать тем, которые указаны в Журналах АС и разрешенного ПО. Автоматическое обновление должно быть включено. Дата последнего обновления должна быть не позднее 7 дней с даты проведения проверки Ответственным за ИБ. 1. Тестирование ПО после обновления или первичной установки должно происходить на Дата и подпись проведения проверки № п/п 66. Наименование процедуры внутреннего контроля функционирования АС после выполнения обновлений ПО, предусмотренного мерами ЦЗИ.12 и ЦЗИ.13 настоящей таблицы, выполняемого в сегментах разработки и тестирования. (ЦЗИ.14) Контроль отсутствия и обеспечение оперативного устранения известных (описанных) уязвимостей защиты информации после выполнения обновлений ПО, предусмотренного мерой ЦЗИ.12 настоящей таблицы (ЦЗИ.15) Ответственный Процедуры или инструменты, применяемые для выполнения мероприятия вычислительную сеть Общества АРМ для осуществления тестирования ПО после установки или обновления. 2. Запросить у Ответственного за ИТ информацию о том проводится ли проверка работоспособности (тестирование) АС после выполнения обновления на автономной рабочей станции не подключенной к вычислительной сети Общества. Периодичность Критерий выполнения ПВК автономной не входящей в вычислительную сеть Общества рабочей станции. 2. Ответственный за ИТ должен проверить правильность функционирования АС после обновления. 3. Ответственный за ИТ должен проверить АС после обновления на наличие известных (описанных) уязвимостей сканером уязвимости. Дата и подпись проведения проверки № п/п Наименование процедуры внутреннего контроля Ответственный 67. Контроль целостности и достоверности источников получения при распространении и (или) обновлении ПО АС, ПО средств и систем защиты информации, системного ПО (ЦЗИ.19) Ответственный за ИБ 68. Обеспечение возможности восстановления эталонных копий ПО АС, ПО средств и систем защиты информации, системного ПО в случаях нештатных ситуаций (ЦЗИ.16) Ответственный за ИБ Процедуры или инструменты, применяемые для выполнения мероприятия Запросить у ответственного за ИТ: 1. Журнал учета АС (ресурсов доступа) с указанием источника (URL сайта) обновления АС и портами, для АС предусматривающих установку ПО на АРМ или сервере. 2. Информацию о том, сверяет ли Ответственный за ИТ при осуществлении обновления ПО хеш ( алгоритм MD5) источника обновления 3. Информацию о том, сверяет ли Ответственный за ИТ адрес сайта в сети Интернет с которого происходит обновление, с официальным адресом сайта организации, осуществляющей поддержку соответствующего ПО. 1. Запросить реестр архивных копий ПО, которые хранятся как эталонные (работоспособные) версии 2. Получить ссылку на копию ПО 3. Хеш по копии ПО должен Периодичность Критерий выполнения ПВК Ежеквартально 1. В Журнале учета АС (ресурсов доступа) должны быть указаны доверенные источники обновления АС - Источник обновления должен быть предоставлен разработчиком АС. Вебсайт источник должен принадлежать организации разработчику АС. 2. Ответственный за ИТ при осуществлении обновления ПО должен сверять хеш ( алгоритм MD5) источника обновления и адрес сайта сети Интернет с которого происходит обновление, с официальным адресом сайта организации, осуществляющей поддержку соответствующего ПО. Ежеквартально 1. В Обществе должны храниться работоспособные копии (с эталонными настройками) АС, системного ПО и ПО для защиты информации. 2. Хранимые копии Дата и подпись проведения проверки № п/п 69. 70. 71. Наименование процедуры внутреннего контроля Наличие, учет и контроль целостности эталонных значений параметров настроек ПО АС, системного ПО, ПО средств и систем защиты информации, возможность восстановления указанных настроек в случаях нештатных ситуаций (ЦЗИ.18) Контроль состава разрешенного для использования ПО АРМ пользователей и эксплуатационного персонала (ЦЗИ.20) Исключение возможности установки и (или) запуска неразрешенного для Ответственный Процедуры или инструменты, применяемые для выполнения мероприятия Периодичность быть равен хешу ресурса доступа. 4. Проверить наличие эталонных дампов ОС с инструкциями по их восстановлению Ответственный за ИБ Ответственный за ИБ 1. Запросить у Ответственного за ИТ перечень разрешенного ПО (включая клиентские/ серверные версии АС), содержащий следующую информацию: Наименование ПО, краткое описание функций ПО, рабочая станция/сервер. 2. Проверить каждое АРМ пользователя и сервера Общества на наличие неразрешенного ПО и состав автозагрузки операционной системы. На каждой АРМ пользователя проверить возможность самостоятельной установки ПО. Критерий выполнения ПВК должны быть проверены. 3. Ответственный за ИТ должен иметь возможность обеспечить восстановление АС, системного ПО и ПО для защиты информации в случае нештатных ситуаций. Ежеквартально Установленное ПО на каждой АРМ пользователя и рабочем сервере должно соответствовать Перечню предоставленному Ответственным за ИТ. Ежеквартально Установка любого ПО пользователем должна быть не возможна. Дата и подпись проведения проверки № п/п 72. 73. Наименование процедуры внутреннего контроля использования ПО АРМ пользователей и эксплуатационного персонала Реализация защиты от вредоносного кода на уровне физических АРМ пользователей и эксплуатационного персонала (ЗВК.1) Реализация защиты от вредоносного кода на уровне серверного оборудования (ЗВК.3) Ответственный Процедуры или инструменты, применяемые для выполнения мероприятия Периодичность Ответственный за ИБ Проверить на каждой АРМ пользователя установлен ли сертифицированный (не ниже 6 класса) антивирус. Ежеквартально Ответственный за ИБ Проверить установлен ли антивирус и дату последнего обновления на серверах Общества. Ежеквартально Критерий выполнения ПВК Антивирус должен быть установлен на каждом АРМ пользователя и эксплуатационного персонала и иметь действую лицензию. Антивирус должен быть установлен на серверном оборудовании и иметь действую лицензию. Дата последнего обновления не более 7 рабочих дней. Автоматическая проверка почтовых сообщений антивирусом должна осуществляться 74. Реализация защиты от вредоносного кода на уровне контроля почтового трафика (ЗВК.5) Ответственный за ИБ Проверить на АРМ пользователей настроен ли антивирус на автоматическую проверку почтовых сообщений. Ежеквартально 75. Реализация защиты от вредоносного кода на уровне входного контроля устройств и переносных (отчуждаемых) носителей информации (ЗВК.6) Ответственный за ИБ Проверить на АРМ пользователей настроен ли антивирус на автоматическую проверку переносных носителей информации при подключении носителя к АРМ пользователя. Ежеквартально Автоматическая антивирусная проверка должна осуществляться при каждом подключении внешнего устройства к АРМ пользователя. 76. Функционирование средств Ответственный защиты от вредоносного за ИБ кода в постоянном, 1. Проверить актуальную версию антивирусного программного обеспечения Ежеквартально 1. Автоматическое обновление должно быть включено. Пользователю Дата и подпись проведения проверки № п/п 77. 78. 79. Наименование процедуры внутреннего контроля Ответственный автоматическом режиме, в том числе в части установки их обновлений и сигнатурных баз данных (ЗВК.8) Контроль отключения и своевременного обновления средств защиты от вредоносного кода (ЗВК.11) Функционирование средств защиты от вредоносного кода на АРМ пользователей и эксплуатационного персонала в резидентном режиме (в режиме service для операционной системы Windows, в режиме daemon - для операционной системы Unix), их автоматический запуск при загрузке операционной системы (ЗВК.9) Применение средств защиты от вредоносного кода, реализующих функцию контроля целостности их программных компонентов Процедуры или инструменты, применяемые для выполнения мероприятия Периодичность на каждом АРМ пользователя и сервере Общества. 2. Проверить возможность отключения Пользователями АРМ антивирусной защиты и служб обновления антивирусного программного обеспечения. Критерий выполнения ПВК не должна быть доступна возможность отключения антивирусной защиты или функций автоматического обновления. 2. Дата последнего обновления должна быть не позднее 7 дней с даты проведения проверки Ответственным за ИБ. Ответственный за ИБ 1. Проверить работает ли антивирус когда АРМ пользователя находится в резидентном режиме – режим до осуществления пользователем входа в учетную запись ОС. Ежеквартально Антивирус должен работать в резидентном режиме. Ответственный за ИБ 1. Проверить на каждой АРМ пользователей выполняет ли установленный антивирус самостоятельный контроль целостности своих Ежеквартально Антивирус должен самостоятельно проверять целостность программных компонентов. Дата и подпись проведения проверки № п/п Наименование процедуры внутреннего контроля Ответственный (ЗВК.10) Процедуры или инструменты, применяемые для выполнения мероприятия Периодичность Критерий выполнения ПВК компонентов. 80. Выполнение еженедельных операций по проведению проверок на отсутствие вредоносного кода (ЗВК.12) Ответственный за ИБ 1. Проверить на каждой АРМ пользователей журнал проведения автоматических антивирусных проверок. Ежеквартально Автоматическая проверка должна быть проведена не позднее 7 дней с даты проведения проверки Ответственным за ИБ. 81. Входной контроль всех устройств и переносных (отчуждаемых) носителей информации (включая мобильные компьютеры и флеш-накопители) перед их использованием в вычислительных сетях Общества (ЗВК.18) Ответственный за ИБ Ежеквартально При использовании личных флеш-накопителях на АРМ пользователя должна осуществляться автоматическая проверка на вирусы при каждом подключении флешнакопителя к рабочей станции. 82. Контроль регистрации событий защиты информации, связанных с реализацией защиты от вредоносного кода: (ЗВК.22-ЗВК.28) - регистрация операций по проведению проверок на Ответственный за ИБ 1. Запросить информацию установлен ли в Обществе запрет на использование личных флеш-накопителей сотрудников на рабочих станциях. 2. Запросить у ответственного за ИТ осуществляется ли антивирусная проверка флеш-накопителей или других внешних носителей данных сотрудников на не зависящей от вычислительной сети Общества АРМ 1. Запросить у ответственного за ИТ журналы регистрации действий антивируса с каждой рабочей станции, в том числе сервера. 2. Проверить осуществляется ли регистрации событий Ежеквартально Регистрации событий защиты информации, указанных в настоящем пункте должна заноситься в журнал действий антивируса на каждой АРМ пользователя и рабочем сервере Общества. Дата и подпись проведения проверки № п/п Наименование процедуры внутреннего контроля Ответственный отсутствие вредоносного кода - регистрация фактов выявления вредоносного кода - регистрация неконтролируемого использования технологии мобильного кода - регистрация сбоев в функционировании средств защиты от вредоносного кода - регистрация сбоев в выполнении контроля (проверок) на отсутствие вредоносного кода - регистрация отключения средств защиты от вредоносного кода - регистрация нарушений целостности программных компонентов средств защиты от вредоносного кода 83. Процедуры контроля при организации защиты машинных носителей информации (МНИ) ПУИ.20, ПУИ.21, ПУИ.22, Процедуры или инструменты, применяемые для выполнения мероприятия Периодичность Критерий выполнения ПВК указанных в этом пункте (ЗВК.22-ЗВК.28). Ответственный за ИБ 1. Запросить журнал учет МНИ (далее - журнал) 2. Проверить маркировку МНИ согласно маркировки в журнале 3. Проверить журнал на Ежеквартально 1. В Обществе должен вестись учет МНИ. 2. МНИ должны быть промаркированы. 3. Действия по передаче МНИ должны быть Дата и подпись проведения проверки № п/п Наименование процедуры внутреннего контроля Ответственный Процедуры или инструменты, применяемые для выполнения мероприятия ПУИ.23, ПУИ.25, ПУИ.32, ПУИ.33 4. 84. 85. Организация мониторинга данных регистрации о событиях защиты информации, формируемых техническими мерами, входящими в состав системы защиты информации (МАС.1) - регистрация о событиях защиты информации, формируемых АС и приложениями (МАС.5) - регистрация о событиях защиты информации, формируемых контроллерами доменов (МАС.6) Контроль формирования данных регистрации о событиях защиты информации объектов информатизации, определенных мерами Ответственный за ИБ 1. 2. 3. 4. 5. наличие отметок о передаче МНИ сотрудникам Общества. Проверить журнал на наличие записей стирания информации при передаче/утилизации/ремо нте МНИ. Зайти в специализированное средство мониторинга и управления событиями ЗИ (далее - ССМиУС) Проверить регистрируются ли события защиты информации формируемые приложениями и АС Проверить регистрируются ли события защиты информации формируемые контролерами доменов (в случае использования функционала контролера доменов) Генерируются ли временные метки при регистрации событий защиты информации. Проверить позволяет ли ССМиУС регистрирующая события защиты информации определить: Периодичность Критерий выполнения ПВК зарегистрированы в Журнале учета МНИ. 4. Действия по стиранию информации с учетных МНИ должны вноситься в Журнал учета МНИ. Ежеквартально 1. ССМиУС должна регистрировать события защиты информации формируемые приложениями и АС и события защиты информации формируемые контролерами доменов. 2. При регистрации событий защиты информации должны генерироваться временные метки. 3. ССМиУС должна предоставлять возможность определять: - субъекта доступа осуществляющего логический доступ; - ресурс доступа и состав действий субъекта доступа. Дата и подпись проведения проверки № п/п 86. 87. 88. 89. Наименование процедуры внутреннего контроля МАС.1 - МАС.7 (МАС.10) Генерация временных меток для данных регистрации о событиях защиты информации и синхронизации системного времени объектов информатизации, используемых для формирования, сбора и анализа данных регистрации (МАС.9) Обеспечение возможности определения состава действий и (или) операций конкретного субъекта доступа (МАС.19) Обеспечение возможности определения состава действий и (или) операций субъектов доступа при осуществлении логического доступа к конкретному ресурсу доступа (МАС.20) Реализация защиты данных регистрации о событиях защиты информации от НСД при их хранении, обеспечение целостности и доступности хранимых данных регистрации Ответственный Процедуры или инструменты, применяемые для выполнения мероприятия Периодичность Критерий выполнения ПВК - субъекта доступа осуществляющего логический доступ; - ресурс доступа и состав действий субъекта доступа. Ответственный за ИБ 1. Зайти в специализированное средство мониторинга и управления событиями ЗИ мониторинга событий о защите информации 2. Проверить наличие в ССМиУС парольной защиты Ежеквартально 1. Вход в ССМиУС должен осуществляться только по логину и паролю. 2. Должно быть выделено дисковое пространство для хранения событий защиты информации. Дата и подпись проведения проверки № п/п 90. 91. 92. 93. 94. 95. Наименование процедуры внутреннего контроля Ответственный Процедуры или инструменты, применяемые для выполнения мероприятия Периодичность Критерий выполнения ПВК (МАС.14) для доступа к результатам 3. Данные о событиях регистрации событий защиты защиты информации Резервирование информации. должны храниться в необходимого объема 3. Запросить информацию у течение трех лет. памяти для хранения ответственного за ИТ выделено 4. В журнале ССМиУС данных регистрации о дисковое пространство на должны регистрироваться событиях защиты сервере Общества для хранения действия по входу в информации (МАС.13) базы данных ССМиУС с систему. Обеспечение возможности учетом трехлетнего срока доступа к данным хранения. регистрации о событиях 4. Проверить осуществляется защиты информации в ли регистрация в журнале течение трех лет (МАС.15) ССМиУС действий по входу в Регистрация доступа к систему хранимым данным о событиях защиты информации (МАС.22) Обнаружение и регистрация инцидентов защиты информации (выявление и классификация рисков) Регистрация информации о Ответственный Реализовано в рамках событиях защиты за ИБ настоящих процедур информации, потенциально внутреннего контроля связанных с инцидентами защиты информации, в том числе НСД, выявленными в рамках мониторинга и анализа событий защиты информации (РИ.1) Реализация защиты Ответственный Зайти в реестр инцидентов защиты Вход в реестр инцидентов информации об за ИБ информации (в ИС - ССМиУС). защиты информации (в ИС инцидентах защиты Вход должен быть обязательно с - ССМиУС) должен информации от НСД, использованием логина и пароля. осуществляться только с обеспечение целостности и использованием логина и доступности указанной пароля. Дата и подпись проведения проверки № п/п 96. Наименование процедуры внутреннего контроля информации Обеспечение возможности доступа к информации об инцидентах защиты информации в течение трех лет Ответственный Процедуры или инструменты, применяемые для выполнения мероприятия Периодичность Критерий выполнения ПВК Ответственный за ИБ 1. Запросить информацию у ответственного за ИТ выделено дисковое пространство на сервере Общества достаточного для хранения реестра инцидентов защиты информации с учетом трехлетнего срока хранения. 2. Запросить журнал обращения пользователей к реестру инцидентов защиты информации, проверить, что есть данные с момента ввода в эксплуатацию или 3 года назад от текущей даты. Ежеквартально Реестр инцидентов защиты информации должен храниться на протяжении трех лет Ответственный за ИБ 1. Зайти в реестр инцидентов защиты информации. 2. Запросить журнал обращения пользователей к реестру инцидентов защиты информации. 3. Проверить, что вход совершенный на этапе 1 проверки, записан и отражен в журнале. Ежеквартально Вход сотрудников в реестр инцидентов защиты информации должен регистрироваться в Журнале ССМиУС 97. Регистрация доступа к информации об инцидентах защиты информации 98. Базовый состав мер по организации идентификации, аутентификации, авторизации (разграничения доступа) при осуществлении логического доступа к виртуальным машинам и серверным компонентам виртуализации Дата и подпись проведения проверки № п/п Наименование процедуры внутреннего контроля Ответственный Процедуры или инструменты, применяемые для выполнения мероприятия Периодичность Критерий выполнения ПВК Идентификация и аутентификация пользователей серверными компонентами виртуализации и (или) средствами централизованных сервисов аутентификации при предоставлении доступа к виртуальным машинам 100. Обеспечение возможности принудительной блокировки (выключения) установленной сессии работы пользователя с виртуальной машиной 101. Контроль фактического состава объектов и ресурсов доступа, входящих в область применения процесса системы защиты информации, на соответствие учетным данным Ответственный за ИБ Запросить у ответственного за ИТ информацию о наличии двухфакторной авторизации администратора виртуальной машины. Ежеквартально Двухфакторная авторизация должна быть реализована. Ответственный за ИБ Ежеквартально Возможность принудительной блокировки сессий пользователя должна быть в административной панели ВМ. Установленные АС и ПО должны быть идентичны 102. Запрет на копирование текущих образов виртуальных машин, использующих СКЗИ, с Ответственный за ИБ Запросить информацию у ответственного за ИТ реализована ли административной панелью доступа к ВМ возможность принудительного прерывания сессии пользователей. 1. Запросить у Ответственного за ИТ журнал АС и программного обеспечения, расположенных на виртуальных машинах. 2. Сверить журнал с фактически размещенными на виртуальным машинах АС и ПО. 1. Запросить у Ответственного за ИТ информацию используются ли криптографические 99. Ответственный за ИБ Ежеквартально Ежеквартально 1. Копирование образов виртуальных машин, использующих СКЗИ не должно осуществляться. Дата и подпись проведения проверки № п/п Наименование процедуры внутреннего контроля загруженными криптографическими ключами 103. Запрет на копирование текущих образов виртуальных машин, используемых для реализации технологии виртуализации АРМ пользователей 104. Процедуры контроля регистрации событий защиты информации, связанных с доступом к виртуальным машинам и серверным компонентам виртуализации Ответственный Процедуры или инструменты, применяемые для выполнения мероприятия Периодичность ключи на виртуальных машинах. 2. Если используются, то запросить информацию копировались ли образы виртуальных машин с такими ключами за последний отчетный период. Ответственный за ИБ Запросить у Ответственного за ИТ Ежеквартально регистрируются ли средствами ОС виртуальной машины следующие события: 1. Регистрация операций, связанных с запуском (остановкой) виртуальных машин (ЗСВ.32) 2. Регистрация операций, связанных с созданием и удалением виртуальных машин (ЗСВ.34) 3. Регистрация операций, связанных с созданием, изменением, копированием, удалением базовых образов виртуальных машин (ЗСВ.35) 4. Регистрация операций, связанных с копированием текущих образов виртуальных машин (ЗСВ.36) 5. Регистрация операций, связанных с изменением прав Критерий выполнения ПВК 2. Копирование образов виртуальных машин, используемых для реализации технологии виртуализации АРМ пользователей не должно осуществляться. События защиты информации, указанные в настоящем пункте, должны регистрироваться в Журналах ОС виртуальных машин Дата и подпись проведения проверки № п/п Наименование процедуры внутреннего контроля Ответственный Процедуры или инструменты, применяемые для выполнения мероприятия логического доступа к серверным компонентам виртуализации (ЗСВ.37) 6. Регистрация операций, связанных с изменением параметров настроек серверных компонентов виртуализации (ЗСВ.38) 7. Регистрация операций, связанных с аутентификацией и авторизацией эксплуатационного персонала при осуществлении доступа к серверным компонентам виртуализации (ЗСВ.39) 8. Регистрация операций, связанных с аутентификацией и авторизацией пользователей при осуществлении доступа к виртуальным машинам (ЗСВ.40) 9. Регистрация операций, связанных с изменением параметров настроек технических мер защиты информации, используемых для реализации контроля доступа к серверным компонентам виртуализации (ЗСВ.42) 10. Регистрация операций, связанных с изменением настроек технических мер защиты информации, используемых для обеспечения защиты виртуальных Периодичность Критерий выполнения ПВК Дата и подпись проведения проверки № п/п Наименование процедуры внутреннего контроля Ответственный 105. Определение правил удаленного доступа и перечня ресурсов доступа, к которым предоставляется удаленный доступ (ЗУД.1) Ответственный за ИБ 106. Реализация защиты информации от раскрытия и модификации, применение двухсторонней взаимной аутентификации участников информационного обмена при ее передаче при осуществлении удаленного логического доступа (ЗУД.4) Ответственный за ИБ 107. Идентификация, двухфакторная аутентификация и авторизация субъектов доступа после Ответственный за ИБ Процедуры или инструменты, применяемые для выполнения мероприятия машин (ЗСВ.43) 1. Запросить у ответственного за ИТ перечень АС, к которым технически разрешен удаленный доступ субъектам логического доступа 2. Получить список АС, к которым предусмотрен удаленный доступ. 3. Сверить полученные списки. 1. 2. Запросись у Ответственного за ИТ реализована ли TLS для шифрования передаваемой информации при осуществлении удаленного доступа. Должно быть реализовано. Запросить у Ответственного за ИТ можно ли подключится без VPN к серверам. 1. Подключится к VPN. Периодичность Критерий выполнения ПВК Ежеквартально Перечень АС к которым предоставляется удаленный доступ должен соответствовать перечню АС, к которым фактически разрешен удаленный доступ субъектам логического доступа. Ежеквартально 1. При осуществлении удаленного логического доступа должны быть реализованы протоколы шифрования и двусторонней аутентификации. 2. Осуществление удаленного доступа должно осуществляться только с использованием VPN. Ежеквартально При подключении должна проводиться двухфакторная аутентификация (смс, код мобильного приложения). Дата и подпись проведения проверки № п/п Наименование процедуры внутреннего контроля Ответственный установления защищенного сетевого взаимодействия, выполнения аутентификации, предусмотренной мерами ЗУД.2 и ЗУД.4 таблицы 45 (ЗУД.5) 108. Размещение и настройка (конфигурирование) технических мер защиты информации в информационной инфраструктуре Общества (РЗИ.2) 109. Контроль (тестирование) полноты реализации технических мер защиты информации (РЗИ.3) 110. Назначение работникам Общества ролей, связанных с применением мер защиты информации, и установление обязанности и ответственности за их выполнение (РЗИ.4) 111. Обучение, практическая подготовка (переподготовка) работников Общества, Процедуры или инструменты, применяемые для выполнения мероприятия 1. Получить журнал прохождения процедур внутреннего контроля, описанных в настоящем документе. Руководитель Общества 1. Запросить документы по прохождению обучения у руководителя службы ИБ (ответственного за Периодичность Ежеквартально 1 раз в год Критерий выполнения ПВК Факт установки мер защиты с отметкой «Т» в ГОСТ 57580. Контролируется соответствующими процедурами настоящего документа. Все процедуры должны быть выполнены. Дата выполнения процедуры не позднее периода, указанного в графе периодичность настоящего документа. Указано в утвержденных Правилах по ИБ. Срок последнего обучения не позднее периода, указанного в графе Периодичность настоящего Дата и подпись проведения проверки № п/п Наименование процедуры внутреннего контроля ответственных за применение мер защиты информации в рамках процесса защиты информации (РЗИ.15) 112. Повышение осведомленности (инструктаж) работников Общества в области реализации процесса защиты информации, применения организационных мер защиты информации, использования по назначению технических мер защиты информации (РЗИ.16) 113. Проведение проверок знаний работников Общества в части применения мер защиты информации в рамках процесса системы защиты информации (КЗИ.7) 114. Контроль фактического состава объектов и ресурсов доступа, входящих в область применения процесса системы защиты информации, на Ответственный Процедуры или инструменты, применяемые для выполнения мероприятия Периодичность ИБ). Ответственный за ИБ 1. Получить журнал проведения инструктажа работников, ответственных за применение мер защиты 2. Получить список субъектов доступа Ответственный за ИБ 1. Провести инвентаризацию объектов и ресурсов доступа. 2. Запросить в ИТ отделе список установленных ресурсов доступа (АС и Критерий выполнения ПВК документа. 1 раз в год В журнале должна быть отметка о прохождении инструктажа всех работников из реестра субъекта доступов. Срок последнего инструктажа не позднее периода, указанного в графе Периодичность настоящего документа. В учете не должно быть количественных и качественных расхождений с проведенной инвентаризацией. Дата и подпись проведения проверки № п/п Наименование процедуры внутреннего контроля соответствие учетным данным, формируемым в рамках выполнения меры РЗИ.1 таблицы 49 (КЗИ.1) 115. Реализация учета объектов и ресурсов доступа, входящих в область применения процесса системы защиты информации, для уровней информационной инфраструктуры, определенных в 6.2 настоящего стандарта, в том числе объектов доступа, расположенных в публичных (общедоступных) местах (в том числе банкоматах, платежных терминалах) (РЗИ.1) 116. - контроль фактического размещения технических мер защиты информации в информационной инфраструктуре Общества; - контроль фактических параметров настроек технических мер защиты информации и компонентов информационной Ответственный Процедуры или инструменты, применяемые для выполнения мероприятия Периодичность Критерий выполнения ПВК ПО). 3. Сверить списки с учетными данными. Ответственный за ИБ 1. Провести инвентаризацию технических мер защиты информации и проверить место фактического размещения на рабочих станциях, серверах и сетевом оборудовании. 2. Запросить в ИТ отделе список установленных Ежеквартально 1. Сверить списки с учетными данными. В учете не должно быть количественных и качественных расхождений с проведенной инвентаризацией. 2. Настройки технических мер защиты должны соответствовать эталонным значениям. Дата и подпись проведения проверки № п/п Наименование процедуры внутреннего контроля инфраструктуры, предназначенных для размещения технических мер защиты информации (КЗИ.2) 117. - контроль назначения ролей, связанных с эксплуатацией и использованием по назначению технических мер защиты информации; - контроль выполнения руководств по эксплуатации и использованию по назначению технических мер защиты информации (КЗИ.3) Ответственный Процедуры или инструменты, применяемые для выполнения мероприятия Периодичность Критерий выполнения ПВК технических мер защиты (АС и ПО). Ответственный за ИБ 1. Запросить у Руководителя Общества список лиц, ответственных за использование технических мер защиты информации. 2. Запросить у Ответственного за ИТ документацию установленных технических мер защиты (АС и ПО). Ежеквартально 1. Роли сотрудников, ответственных за использование технических мер защиты информации должны быть определены, назначены ответственные лица. 2. Технические меры защиты должны использоваться в соответствии с рекомендациями тех.документации. Дата и подпись проведения проверки
