3.10. Обеспечение защиты информации при предоставлении пользователям привилегированного доступа (ПД)
3.10. Обеспечение защиты информации при предоставлении
пользователям привилегированного доступа (ПД)
Цель: Исключение возможности получения привилегированного доступа к информационным системам лицами, для которых такой доступ должен быть исключен, а также недопущение использования повышенных прав доступа с нарушением внутренних стандартов и регламентов по защите информации.
Требования к реализации: Обеспечение защиты информации при предоставлении пользователям привилегированного доступа должно предусматривать:
предоставление привилегированного доступа к информационным системам только тем работникам, в обязанности (функции) которых входит разработка, тестирование программного обеспечения информационной системы, обеспечение функционирования информационных систем или защита содержащейся в них информации;
создание для привилегированного доступа привилегированных учетных записей с правами доступа, минимально необходимыми для выполнения работниками возложенных на них обязанностей (функций);
наделение привилегированных учетных записей правами доступа в соответствии с моделями доступа информационных систем, определенными во внутренних стандартах, и контроль прав доступа;
применение для привилегированных учетных записей строгой аутентификации или усиленной многофакторной аутентификации;
регистрацию действий по доступу пользователей с использованием привилегированных учетных записей и контроль использования привилегированных учетных записей в соответствии с внутренними стандартами и регламентами по защите информации.
Все привилегированные учетные записи должны быть закреплены за соответствующими работниками.
Работники должны использовать привилегированные учетные записи в соответствии с внутренними регламентами и стандартами. Не допускается использование привилегированных учетных записей для целей, не указанных в заявке на создание привилегированных учетных записей. Использование привилегированных учетных записей без служебной необходимости запрещено.
Создание и использование групповых привилегированных записей допускается при условии однозначной идентификации лиц, использующих привилегированные учетные записи в конкретный момент времени.
Не допускается объединение в рамках одной привилегированной учетной записи или одной группы привилегированных учетных записей ролей по системному администрированию, ролей по разработке и тестированию программных, программно-аппаратных средств, ролей администраторов безопасности.
Созданные привилегированные учетные записи подлежат учету и контролю их использования.
Встроенные в программные, программно-аппаратные средства привилегированные учетные записи допускается использовать только для первоначальной настройки, ремонта или технического обслуживания, проведения аварийного восстановления информационных систем (в случае отсутствия возможности использования других привилегированных учетных записей), а также для создания локальных привилегированных учетных записей с правами по созданию других привилегированных учетных записей и назначению им прав доступа (далее - учетные записи главных администраторов).
Учетные записи главных администраторов должны иметь персональное закрепление за работниками, на которых возложены обязанности (функции) по созданию, изменению, блокированию привилегированных учетных записей (далее - главный администратор) (за исключением использования для создания привилегированных учетных записей автоматизированной системы управления привилегированными учетными записями). Факт привилегированного доступа главного администратора, должность и фамилия, имя, отчество (при наличии), время доступа и перечень совершаемых главным администратором действий в информационной системе должен регистрироваться в журнале учета действий главного администратора, контроль за ведением которого осуществляется структурным подразделением, специалистами по защите информации.
Привилегированные учетные записи главных администраторов не должны иметь удаленного доступа, должны быть персонифицированы для конкретных работников, наделенных соответствующими обязанностями (функциями).
Встроенные привилегированные учетные записи должны быть отключены или, в случае невозможности отключения, переименованы после завершения настройки и установки конфигураций, заданных внутренними стандартами по защите информации (при наличии технической возможности). Аутентификационная информация встроенных привилегированных учетных записей должна быть изменена в соответствии с внутренними стандартами и регламентами по защите информации.
В случае необходимости временного предоставления привилегированного доступа к информационной системе или необходимости нестандартных прав доступа в запросе на создание привилегированной учетной записи должен быть указан срок и состав работ, для которых создается временная учетная запись. Временная привилегированная учетная запись подлежит учету и контролю использования. По истечении интервала времени использования, в который была создана временная привилегированная учетная запись, она подлежит блокированию в информационной системе и в автоматизированной системе управления привилегированными учетными записями (в случае их использования) в автоматическом или автоматизированном режиме.
Для взаимодействия информационных систем, отдельных программных, программно-аппаратных средств с использованием программных интерфейсов создаются неперсонифицированные технологические привилегированные учетные записи. Технологические привилегированные учетные записи должны быть закреплены за работниками подразделения, обеспечивающего функционирование информационных систем. Технологические привилегированные учетные записи должны подлежать учету и контролю использования.
Аутентификационная информация привилегированных учетных записей подлежит изменению в соответствии с внутренними регламентами и стандартами, но не реже одного раза в шесть месяцев (за исключением случаев использования для доступа сертификатов безопасности).
Аутентификационная информация привилегированных учетных записей, заданная разработчиком, производителем программных, программно-аппаратных средств по умолчанию, подлежит изменению при первоначальной настройке программных, программно-аппаратных средств.
Аутентификационная информация привилегированных учетных записей, созданная в ходе настройки, ремонта, сервисного обслуживания, подлежит изменению после завершения указанных работ.
Не допускается использование одинаковой аутентификационной информации для привилегированных учетных записей, неперсонифицированных технологических привилегированных учетных записей, непривилегированных учетных записей.
Неиспользуемые привилегированные учетные записи должны быть заблокированы и удалены. В случае отстранения работника от выполнения обязанностей (функций), возможность использования его привилегированной учетной записи должна быть заблокирована не позднее 8 часов после отстранения работника от выполнения обязанностей (функций). Также должна быть изменена аутентификационная информация всех учетных записей, к которым у работника был доступ.
Использование системными администраторами и администраторами безопасности мобильных устройств для осуществления привилегированного доступа не допускается.
Удаленный привилегированный доступ предоставляется при необходимости только для выполнения работником обязанностей (функций) из мест, в которых отсутствует возможность физического доступа к программно-аппаратным средствам, входящим в состав информационной системы. Должна быть обеспечена возможность использования привилегированной учетной записи в отведенное для этого время.
Привилегированные учетные записи структурного подразделения, специалистов по защите информации создаются по решению руководителя, ответственного лица.
Требования к документированию: Внутренний регламент, определяющий порядок создания, учета, изменения и блокирования, контроля, удаления привилегированных учетных записей, должен содержать:
перечень лиц (в том числе категорий пользователей, ролей пользователей), которым предоставлены права по созданию, учету, изменению и блокированию, контролю, удалению привилегированных учетных записей;
перечень и содержание мероприятий по созданию, учету, изменению и блокированию, контролю, удалению привилегированных учетных записей;
перечень и содержание мероприятий по контролю за действиями в информационных системах привилегированных учетных записей.
Во внутреннем стандарте по первичной идентификации устанавливаются требования к первичной идентификации лиц, обладающих правами привилегированного доступа.
Во внутреннем стандарте по применяемым моделям доступа пользователей устанавливаются типы привилегированных учетных записей, их права по доступу к объектам доступа информационных систем.
Во внутреннем стандарте по ограничению и запретам действий для пользователей устанавливаются запрещенные действия пользователей при осуществлении ими привилегированного доступа, а также ограничения и запреты при создании, учете, изменениях и блокировании, контроле, удалении привилегированных учетных записей.
1) системные администраторы и администраторы безопасности для выполнения своих обязанностей (функций) должны использовать только выделенные оператором для администрирования программно-аппаратные средства. Доступ к информационным системам по протоколам управления должен быть разрешен только с выделенных автоматизированных рабочих мест. Использование для этих целей иных программно-аппаратных средств допускается только при использовании средств обеспечения безопасной дистанционной работы;
2) в информационной системе должны применяться средства управления привилегированными учетными записями для предоставления возможности использования, учета, изменения, блокирования и контроля использования привилегированных учетных записей;
3) создание, изменение, блокирование главным администратором привилегированных учетных записей по заявке подразделения, обеспечивающего функционирование информационных систем, или по заявкам подразделений, эксплуатирующих информационные системы, согласованным с подразделением, обеспечивающим функционирование информационных систем. Сведения о созданной, измененной, заблокированной учетной записи и ее правах доступа передаются в структурное подразделение, специалистам по защите информации для учета и контроля использования;
4) должна проводиться не реже одного раза в год оценка знаний работников, назначенных на роль системных администраторов и администраторов безопасности, мер по защите информации, установленных настоящим методическим документом, внутренними регламентами и стандартами в части касающейся;
5) в случае предоставления удаленного привилегированного доступа действия системных администраторов и администраторов безопасности подлежат постоянному мониторингу с записью действий в журналы событий безопасности и их хранением на машинных носителях информации не менее 6 месяцев;
6) применение средств, систем геопозиционирования программно-аппаратных средств, обеспечивающих определение места, из которого осуществляется удаленный привилегированный доступ;
7) при удаленном привилегированном доступе для выполнения ролей системных администраторов и администраторов безопасности должен быть обеспечен контроль загружаемых администраторами в информационные системы файлов на наличие в них вредоносного программного обеспечения, а также контроль выгружаемых администраторами файлов с целью выявления нарушений требований внутренних регламентов по обработке конфиденциальной информации.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2026
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2026 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2026 год
- Частичная мобилизация: обзор новостей
- Постановление Правительства РФ N 1875