Оператором персональных данных должна обеспечиваться защита персональных данных при доступе пользователей (процессов запускаемых от имени пользователей) и (или) иных субъектов доступа к объектам доступа информационной системы персональных данных (ИСПДн) через информационно-телекоммуникационные сети, в том числе сети связи общего пользования, с использованием стационарных и (или) мобильных технических средств (защита удаленного доступа).
Защита удаленного доступа должна обеспечиваться при всех видах доступа (беспроводной, проводной (коммутируемый), широкополосный и иные виды доступа) и включает:
- установление (в том числе документальное) видов доступа, разрешенных для удаленного доступа к объектам доступа ИСПДн;
- ограничение на использование удаленного доступа в соответствии с задачами (функциями) ИСПДн, для решения которых такой доступ необходим, и предоставление удаленного доступа для каждого разрешенного вида удаленного доступа в соответствии с УПД.2;
- предоставление удаленного доступа только тем пользователям, которым он необходим для выполнения установленных должностных обязанностей (функций);
- мониторинг и контроль удаленного доступа на предмет выявления несанкционированного удаленного доступа к объектам доступа ИСПДн;
- контроль удаленного доступа пользователей (процессов запускаемых от имени пользователей) к объектам доступа ИСПДн до начала информационного взаимодействия с ИСПДн (передачи персональных данных).
Правила и процедуры применения удаленного доступа регламентируются в организационно-распорядительных документах оператора персональных данных по защите персональных данных.
Требования к усилению УПД.13:
1) в ИСПДн для мониторинга и контроля удаленного доступа должны применяться автоматизированные средства (дополнительные программные или программно-технические средства);
2) в ИСПДн используется ограниченное (минимально необходимое) количество точек подключения к ИСПДн при организации удаленного доступа к объектам доступа ИСПДн;
3) в ИСПДн исключается удаленный доступ от имени привилегированных учетных записей (администраторов) для администрирования ИСПДн и ее системы защиты персональных данных;
4) в ИСПДн при удаленном доступе обеспечивается применение в соответствии с законодательством Российской Федерации криптографических методов защиты информации;
5) в ИСПДн обеспечивается мониторинг и контроль удаленного доступа на предмет выявления установления несанкционированного соединения технических средств (устройств) с ИСПДн;
6) в ИСПДн должен обеспечиваться запрет удаленного доступа с использованием сетевых технологий и протоколов, определенных оператором по результатам анализа защищенности в соответствии с АНЗ.1 как небезопасных.
Содержание базовой меры УПД.13:
| Мера защиты персональных данных | Уровень защищенности персональных данных | |||
| 4 | 3 | 2 | 1 | |
| УПД.13 | + | + | + | + |
| Усиление УПД.13 | 2, 3 | 2, 3, 5 | 1, 2, 3, 5 | |