Примечание. Адаптировано из ГОСТ Р 51275
Примечание. Адаптировано из ГОСТ Р 51275
Примечание. В составе основных типов объектов доступа рекомендуется как минимум рассматривать:
- автоматизированные рабочие места (АРМ) пользователей;
- АРМ эксплуатационного персонала;
- серверное оборудование;
- сетевое оборудование;
- системы хранения данных;
- аппаратные модули безопасности (HSM);
- устройства печати и копирования информации;
- объекты доступа, расположенные в публичных (общедоступных) местах (в том числе банкоматы, платежные терминалы).
Примечание. В составе основных типов ресурсов доступа рекомендуется как минимум рассматривать:
- АС;
- базы данных;
- сетевые файловые ресурсы;
- виртуальные машины, предназначенные для размещения серверных компонентов АС;
- виртуальные машины, предназначенные для размещения АРМ пользователей и эксплуатационного персонала;
- ресурсы доступа, относящиеся к сервисам электронной почты;
- ресурсы доступа, относящиеся к WEB-сервисам финансовой организации в сетях Интранет и Интернет.
Примечание.В составе основных типов субъектов доступа в настоящем стандарте как минимум рассматриваются следующие:
- пользователи — субъекты доступа, в том числе клиенты финансовой организации, осуществляющие доступ к объектам и (или) ресурсам доступа с целью использования финансовых услуг, предоставляемых информационной инфраструктурой финансовой организации;
- эксплуатационный персонал — субъекты доступа, в том числе представители подрядных организаций, которые решают задачи обеспечения эксплуатации и (или) администрирования объектов и (или) ресурсов доступа, для которых необходимо осуществление логического доступа, включая задачи, связанные с эксплуатацией и администрированием технических мер защиты информации;
- технический (вспомогательный) персонал — субъекты доступа, в том числе представители подрядных организаций, решающие задачи, связанные с обеспечением эксплуатации объектов доступа, для выполнения которых не требуется осуществление логического доступа, или выполняющие хозяйственную деятельность и осуществляющие физический доступ к объектам доступа без цели их непосредственного использования;
- программные сервисы — процессы выполнения программ в информационной инфраструктуре, осуществляющие логический доступ к ресурсам доступа.
Примечание. Адаптировано из [4].
Факторы аутентификации подразделяются на следующие три категории:
- что-то, что субъект или объект доступа знает, например пароли легальных субъектов доступа, ПИН-коды;
- что-то, чем субъект или объект доступа обладает, например данные, хранимые на персональных технических устройствах аутентификации: токенах, смарт-картах и иных носителях;
- что-то, что свойственно субъекту или объекту доступа, например биометрические данные физического лица — легального субъекта доступа.
Примечание. Адаптировано из [4].
Примечание. Адаптировано из ГОСТ Р ИСО/МЭК27001.
В составе типов инцидентов защиты информации рекомендуется как минимум рассматривать:
- несанкционированный доступ к информации;
- нарушение в обеспечении защиты информации, включая нарушение работы технических мер защиты информации, появление уязвимостей защиты информации;
- нарушение требований законодательства Российской Федерации, в том числе нормативных актов Банка России, внутренних документов финансовой организации в области обеспечения защиты информации;
- нарушение регламентированных сроков выполнения процедур и операций в рамках предоставления финансовых услуг;
- нарушение установленных показателей предоставления финансовых услуг;
- нанесение финансового ущерба финансовой организации, ее клиентам и контрагентам;
- выполнение операций (транзакций), приводящих к финансовым последствиям финансовой организации, ее клиентов и контрагентов, осуществление переводов денежных средств по распоряжению лиц, не обладающих соответствующими полномочиями, или с использованием искаженной информации, содержащейся в соответствующих распоряжениях (электронных сообщениях).
Примечание. Адаптировано из ГОСТ Р 53114.
Примечание. Адаптировано из ГОСТ Р 50922.
Примечание. В составе функций централизованного управления рассматриваются:
- автоматизированные установка и обновление ПО технических мер защиты информации, получаемых из единого (эталонного) источника;
- автоматизированное обновление сигнатурных баз в случае их использования, получаемых из единого (эталонного) источника, с установленной периодичностью;
- автоматизированное установление параметров настроек технических мер защиты информации, получаемых из единого (эталонного) источника;
- контроль целостности ПО технических мер защиты информации, параметров настроек технических мер защиты информации и сигнатурных баз при осуществлении их автоматизированной установки и (или) обновлении;
- контроль целостности единого (эталонного) источника ПО технических мер защиты информации, параметров настроек технических мер защиты информации и сигнатурных баз;
- централизованный сбор данных регистрации о событиях защиты информации, формируемых техническими мерами защиты информации.
к Оглавлению ГОСТ 57580.1-2017 | Назад | Вперед