Усиление УПД.13 и ГИС

коллеги,

а как вы дружите (или не дружите) с мерой упд.13 из методического документа “Меры защиты информации в государственных информационных системах” ?

Требования к усилению УПД.13:
3) в информационной системе исключается удаленный доступ от имени привилегированных учетных записей (администраторов) для администрирования информационной системы и ее системы защиты информации

лицензиат при аттестации требует ее использовать, а нам сильно нужен удаленный доступ для администрирования серверов и АРМ випнет администратора.

Лицензиат чем аргументирует свою позицию об обязательном усилении УПД.13? Это же не догма:

Усиления мер защиты информации, приведенные в подразделе «требования к усилению меры защиты информации» и не включенные в таблицу с содержанием базовой меры защиты информации в подразделе «содержание базовой меры защиты информации», применяется по решению обладателя информации, заказчика и (или) оператора для повышения уровня защищенности информации, содержащейся в информационной системе, или при адаптации, уточнении, дополнении мер защиты информации, а также при разработке компенсирующих мер защиты информации.
https://fstec.ru/component/attachments/download/675

в табличке на стр. 40 метод. документа (Содержание базовой меры) усиление упд.13 указано для класса защищенности нашей ГИС

В предыдущем комментарии уже процитировал, что усиление “применяется по решению обладателя информации, заказчика и (или) оператора” (это со стр.13).

Можно ещё посмотреть внимательно на вот это абзац со стр.10:

При невозможности реализации в информационной системе в рамках ее системы защиты информации отдельных выбранных мер защиты информации на этапах адаптации базового набора мер защиты информации или уточнения адаптированного базового набора мер защиты информации могут разрабатываться иные (компенсирующие) меры защиты информации, обеспечивающие адекватное блокирование (нейтрализацию) угроз безопасности информации.

Поставьте лицензиату задачу по разработке компенсирующих мер. Если у вас проектом самой системы предусматривается удалённый доступ, то пусть ищет альтернативы безоглядному следованию “плюсикам” в таблице.