3.8. Обеспечение защиты информации при удаленном доступе пользователей к информационным системам (УД)

Цель: Исключение возможности несанкционированного доступа (воздействия) к информационным системам и содержащейся в них информации, а также к взаимодействующим с ними программно-аппаратным средствам пользователей через каналы передачи данных, интерфейсы удаленно подключаемых программно-аппаратных средств.

Требования к реализации: Обеспечение защиты информации при удаленном доступе пользователей к информационным системам должно предусматривать:

предоставление удаленного доступа к информационным системам только тем пользователям, которым такой доступ необходим для выполнения своих обязанностей (функций);

определение информационных систем, их сегментов и (или) отдельных программных, программно-аппаратных средств, к которым предоставляется удаленный доступ;

реализацию в информационных системах мер по защите информации при удаленном доступе;

реализацию в удаленно подключаемом программно-аппаратном средстве пользователя мер по защите информации;

обеспечение контроля удаленного доступа к сегментам (компонентам) информационных систем.

Удаленным доступом является доступ пользователей к информационным системам и содержащейся в них информации из-за предела контролируемой зоны с использованием сетей связи общего пользования, включая сеть "Интернет".

В информационных системах при осуществлении удаленного доступа к ним пользователей должны быть приняты меры по идентификации и аутентификации удаленно подключаемых пользователей, разграничению и контролю доступа удаленных пользователей к объектам доступа информационных систем, регистрации событий безопасности, связанных с удаленным доступом, защите веб-технологий, используемых при удаленном доступе, защите данных, передаваемых по сети "Интернет", с использованием шифровальных (криптографических) средств защиты информации, а также контролю сетевых доступов к сегментам информационной системы удаленных пользователей и обнаружению и предотвращению вторжений на сетевом уровне при осуществлении удаленного доступа.

В удаленно подключаемых программно-аппаратных средствах пользователей принимаются меры по идентификации и аутентификации пользователей, разграничению и контролю доступа пользователей к объектам доступа программно-аппаратного средства, регистрации событий безопасности в программно-аппаратном средстве, антивирусной защите, поддержке механизмов строгой аутентификации пользователей и защите данных, передаваемых по сети "Интернет".

Учетные записи, выданные пользователям для удаленного доступа к информационным системам, должны использоваться для выполнения своих обязанностей (функций). Использование учетных записей в сторонних сервисах на допускается.

Публикация в сети "Интернет" сетевых сервисов информационной системы не допускается (за исключением публичных веб-приложений, сервисов электронной почты, телефонии и иных сервисов, функционирование которых необходимо в информационных системах).

Предоставление удаленного доступа к информационным системам с использованием личных программно-аппаратных средств работников допускается при условии применения средств обеспечения безопасной дистанционной работы и средств антивирусной защиты и по согласованию со структурным подразделением, специалистами по защите информации.

Удаленный доступ к информационным системам или их сегментам (средствам), несанкционированный доступ к которым или воздействия на которые могут привести к существенным негативным последствиям, неприемлемым для обладателя информации или оператора, должен предоставляться только при необходимости и по согласованию со структурным подразделением, специалистами по защите информации и на ограниченный интервал времени (за исключением случаев перевода работников на удаленный режим работы).

В случае прекращения необходимости удаленного доступа к информационным системам возможность доступа с использованием выделенных для этого учетных записей пользователей должна быть исключена.

Удаленный доступ внутренних непривилегированных пользователей в информационную систему с личных средств вычислительной техники должен осуществляться с использованием средств обеспечения безопасной дистанционной работы.

Требования к документированию: Внутренний стандарт, устанавливающий требования к конфигурациям и настройкам программных, программно-аппаратных средств, предназначенных для обеспечения удаленного доступа пользователей, должен содержать:

требования к типам программно-аппаратных средств, с использованием которых разрешен удаленный доступ;

требования к составу программных средств и средств защиты информации программно-аппаратных средств, с использованием которых разрешен удаленный доступ, их настройкам, конфигурациям;

требования к составу портов, интерфейсов, протоколов программно-аппаратных средств, с использованием которых разрешен удаленный доступ, и их контролю;

требования к перечню настроек и конфигураций программных, программно-аппаратных средств, подлежащих контролю и реагированию в случае обнаружения факта их изменения.

Внутренний регламент, определяющий порядок предоставления пользователям удаленного доступа к информационным системам и содержащейся в них информации, должен содержать:

перечень лиц (категорий пользователей, ролей пользователей), которым разрешен удаленный доступ к информационным системам для выполнения своих обязанностей (функций) и (или) перечень обязанностей (функций), предусматривающий удаленный доступ;

перечень сегментов информационных систем, отдельных программно-аппаратных средств и содержащейся в них информации, к которым разрешен удаленный доступ соответствующих категорий, ролей пользователей;

перечень и содержание мероприятий по предоставлению пользователям удаленного доступа к информационным системам и содержащейся в них информации, включая состав и функции работников, ответственных за принятие решения и осуществляющих предоставление удаленного доступа;

порядок действий пользователя в случае выявления факта изменения настроек и конфигураций программных, программно-аппаратных средств;

перечень и содержание мероприятий по контролю за удаленным доступом пользователей;

перечень подразделений (работников), ответственных за контроль удаленного доступа, их обязанности (функции) и права (полномочия);

порядок установления причин неправомерного изменения настроек и конфигураций программных, программно-аппаратных средств, используемых для удаленного доступа;

схемы взаимодействия подразделений (работников) при реализации мероприятий по контролю удаленного доступа (при необходимости).

Требования к усилению:

1) учетные записи работников, которым предоставлена возможность удаленного доступа к информационным системам, подлежат объединению в рамках одной или нескольких групп, для которых обеспечиваются централизованное управление и контроль учетными записями;

2) программно-аппаратным средствам, используемым для удаленного доступа к информационным системам, должны быть присвоены неизменяемые идентификаторы, обеспечивающие контроль подключения и доступа к информационным системам. Каждому средству, с использованием которого осуществляется удаленный доступ, должно присваиваться сетевое (доменное) имя;

3) должен осуществляться контроль удаленного доступа с применением средств, систем геопозиционирования программно-аппаратных средств, обеспечивающих определение места, из которого пользователь осуществляет уделенный доступ;

4) должно быть обеспечено блокирование удаленного доступа пользователей оператора при обнаружении признаков реализации угроз безопасности информации, связанных с таким доступом, включая блокировку учетных записей и сессий, созданных учетной записью;

6) должен быть обеспечен контроль удаленного доступа к сегментам (компонентам) информационных систем с возможностью автоматического прекращения доступа после истечения интервала времени, на который был предоставлен удаленный доступ, или принудительно;

7) на устройствах, с которых осуществляется удаленный доступ к информационным системам, должны применяться средства сетевого взаимодействия (в том числе, доверенные аппаратные сетевые интерфейсы).