Оператор персональных данных несёт ответственность за обеспечение безопасности информации, когда пользователи и другие субъекты доступа получают доступ к объектам доступа в информационной системе персональных данных (ИСПДн) через внешние информационно-телекоммуникационные сети (ИКТС), включая общедоступные сети связи, с помощью стационарных и мобильных устройств. Эта мера защиты называется защитой удалённого доступа.
Защита удалённого доступа должна быть обеспечена при любом его виде: беспроводном, проводном (коммутируемом), широкополосном и других. Она включает в себя несколько ключевых элементов:
- Установление (в том числе документальное) разрешённых видов доступа к объектам доступа ИСПДн.
- Ограничение использования удалённого доступа в соответствии с задачами (функциями) ИСПДн, для которых он необходим, и предоставление доступа для каждого разрешённого вида в соответствии с УПД.2.
- Предоставление удалённого доступа только тем пользователям, которым он действительно необходим для выполнения их должностных обязанностей.
- Мониторинг и контроль удалённого доступа с целью обнаружения несанкционированного доступа к объектам доступа ИСПДн.
- Контроль удалённого доступа пользователей к объектам ИСПДн до начала информационного взаимодействия с системой (передачи персональных данных).
Правила и процедуры использования удалённого доступа чётко определены в организационно-распорядительных документах оператора персональных данных по защите информации.
Требования к усилению УПД.13
- В ИСПДн для мониторинга и контроля удалённого доступа должны применяться автоматизированные средства (дополнительные программные или программно-технические средства).
- Количество точек подключения к ИСПДн при организации удалённого доступа к объектам должно быть ограничено минимально необходимым.
- Необходимо исключить удалённый доступ от имени привилегированных учётных записей (администраторов) для администрирования ИСПДн и её системы защиты персональных данных.
- При удалённом доступе в ИСПДн должны использоваться криптографические методы защиты информации в соответствии с законодательством Российской Федерации.
- Мониторинг и контроль удалённого доступа должны включать проверку на установление несанкционированного соединения технических средств (устройств) с ИСПДн.
- Запрет удалённого доступа с использованием сетевых технологий и протоколов, определённых оператором по результатам анализа защищённости в соответствии с АНЗ.1 как небезопасных, должен быть обязательным.
