Найти в Дзене
PersData
71 подписчик

Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние ИТКС (мера УПД.13)

66
2 мин
Оператор персональных данных несёт ответственность за обеспечение безопасности информации, когда пользователи и другие субъекты доступа получают доступ к объектам доступа в информационной системе персональных данных (ИСПДн) через внешние информационно-телекоммуникационные сети (ИКТС), включая общедоступные сети связи, с помощью стационарных и мобильных устройств. Эта мера защиты называется защитой удалённого доступа. Защита удалённого доступа должна быть обеспечена при любом его виде: беспроводном, проводном (коммутируемом), широкополосном и других. Она включает в себя несколько ключевых элементов: Правила и процедуры использования удалённого доступа чётко определены в организационно-распорядительных документах оператора персональных данных по защите информации.
Оглавление
Источник: Шедеврум
Источник: Шедеврум

Оператор персональных данных несёт ответственность за обеспечение безопасности информации, когда пользователи и другие субъекты доступа получают доступ к объектам доступа в информационной системе персональных данных (ИСПДн) через внешние информационно-телекоммуникационные сети (ИКТС), включая общедоступные сети связи, с помощью стационарных и мобильных устройств. Эта мера защиты называется защитой удалённого доступа.

Защита удалённого доступа должна быть обеспечена при любом его виде: беспроводном, проводном (коммутируемом), широкополосном и других. Она включает в себя несколько ключевых элементов:

  1. Установление (в том числе документальное) разрешённых видов доступа к объектам доступа ИСПДн.
  2. Ограничение использования удалённого доступа в соответствии с задачами (функциями) ИСПДн, для которых он необходим, и предоставление доступа для каждого разрешённого вида в соответствии с УПД.2.
  3. Предоставление удалённого доступа только тем пользователям, которым он действительно необходим для выполнения их должностных обязанностей.
  4. Мониторинг и контроль удалённого доступа с целью обнаружения несанкционированного доступа к объектам доступа ИСПДн.
  5. Контроль удалённого доступа пользователей к объектам ИСПДн до начала информационного взаимодействия с системой (передачи персональных данных).

Правила и процедуры использования удалённого доступа чётко определены в организационно-распорядительных документах оператора персональных данных по защите информации.

Требования к усилению УПД.13

  1. В ИСПДн для мониторинга и контроля удалённого доступа должны применяться автоматизированные средства (дополнительные программные или программно-технические средства).
  2. Количество точек подключения к ИСПДн при организации удалённого доступа к объектам должно быть ограничено минимально необходимым.
  3. Необходимо исключить удалённый доступ от имени привилегированных учётных записей (администраторов) для администрирования ИСПДн и её системы защиты персональных данных.
  4. При удалённом доступе в ИСПДн должны использоваться криптографические методы защиты информации в соответствии с законодательством Российской Федерации.
  5. Мониторинг и контроль удалённого доступа должны включать проверку на установление несанкционированного соединения технических средств (устройств) с ИСПДн.
  6. Запрет удалённого доступа с использованием сетевых технологий и протоколов, определённых оператором по результатам анализа защищённости в соответствии с АНЗ.1 как небезопасных, должен быть обязательным.
Содержание базовой меры УПД.13
Содержание базовой меры УПД.13

Читайте также

Регламентация и контроль использования в ИСПДн мобильных технических средств (мера УПД.15)
PersData20 октября 2024