Пояснительная записка (1209237), страница 13

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 13)

В случае если обнаружены неустранимые несоответствия, они выносятся в отдельный отчет, который передается лицам, ответственным за принятие решения о проведении мероприятий по устранению несоответствий. Данное лицо принимает решение о методе устранения несоответствия, соответствующего причине появления несоответствия. Решения по каждому несоответствию заносятся в план мероприятий по устранению несоответствий параметров настройки программного обеспечения и средств защиты информации с указанием ответственных за выполнение лиц и временных рамок исполнения. План приводится в исполнение с занесением соответствующей информации в отчет о контроле соответствия. В случае, если его исполнение может повлечь за собой изменение других параметров конфигурации, необходимо провести повторную проверку данного программного обеспечения или средств защиты.

Из полученного отчета составляется перечень параметров конфигурации программного обеспечения и средств защиты информации информационной системы. Данный перечень вносится в эксплуатационную документацию информационной системы.

4.6 Контроль состава технических средств, программного обеспечения и средств защиты информации

Необходимо установить и настроить в информационной системе выбранные средства инвентаризации. Результат работы средств инвентаризации представляет собой отчет о составе технических средств, программного обеспечения и средств защиты информации информационной системы. Необходимо создать отчет о проведении контроля состава технических средств, программного обеспечения и средств защиты информации, каждый пункт которого представляет собой запись о контролируемом компоненте и состоит из следующих полей:

• описание технического средства, программного обеспечения или средства защиты;

• отметка о наличии или отсутствии компонента в информационной системе;

• лицо, проводящее контроль состава компонентов;

• дата проведения контроля состава компонентов.

Разрешается сгруппировать пункты в отчете по узлам информационной системы. Пункты данного отчета создаются на основе проектной документации информационной системы, в частности «Описание программного обеспечения» и «Комплекс технических средств».

Ответственное лицо обязано проверить наличие каждого компонента из отчета в информационной системе путем его поиска в отчете средств инвентаризации. Также необходимо провести обратную проверку: проверить наличие каждого компонента, описанного в отчете средства инвентаризации, в проектной документации.

В случае обнаружения отсутствия компонента к пункту отчета добавляются следующие поля:

• отметка об устранении несоответствия;

• описание устранения несоответствия;

• лицо, устранившее несоответствие;

• дата устранения несоответствия.

В случае обнаружения несанкционированного присутствия компонента, в отчет добавляется новый пункт в отдельный раздел, включая новые поля.

Все несоответствия в отчете выносятся в план их устранения. Каждый пункт плана представляет собой одно несоответствие со следующими полями:

• описание несоответствия;

• выбранное мероприятие по устранению несоответствия;

• лицо, ответственное за устранение несоответствия;

• временные рамки устранения несоответствия.

Выбор мероприятий по устранению несоответствий в составе технических средств, программного обеспечения и средств защиты информации проектной документации производится из следующих рекомендуемых:

• развертывание отсутствующего компонента информационной системы;

• удаление из информационной системы не санкционированно присутствующего компонента информационной системы;

• разрешение несоответствия путем модификации эксплуатационной документации.

План приводится в исполнение с занесением соответствующей информации в отчет о контроле состава. Полученный отчет подтверждает отсутствие не устраненных несоответствий состава технических средств, программного обеспечения и средств защиты в информационной системе проектной документации.

Из полученного отчета составляется перечень технических средств, программного обеспечения и средств защиты информации информационной системы. Данный перечень вносится в эксплуатационную документацию информационной системы.

На основании составленного перечня средств защиты информации необходимо составить график проведения контроля сроков действия сертификатов на сертифицированные средства защиты информации. График представляет собой набор дат с указанием средств защиты, чьи сертификаты будут проверяться по наступлении этих дат на этапе эксплуатации информационной системы. Данные даты выбираются как даты окончания сроков действия сертификатов соответствующих средств защиты. Данные даты доступны в Государственном реестре сертифицированных средств защиты информации ФСТЭК. Данный график также вносится в эксплуатационную документацию информационной системы.

4.7 Контроль исполнения правил генерации и изменения паролей, создания и удаления учетных записей пользователей информационной системы, разграничения их доступа и полномочий

Необходимо составить перечень правил генерации и изменения паролей, создания и удаления учетных записей пользователей информационной системы, разграничения их доступа и полномочий. Данный перечень составляется на основе организационно-распорядительной документации, созданной при реализации соответствующих мер защиты информации. На основе данного перечня составляется отчет о проведении контроля реализации правил. Каждый пункт данного отчета представляет собой одно правило со следующими полями:

• описание правила;

• конфигурация средств защиты информации, реализующая данное правило;

• настоящая конфигурация средств защиты информации;

• отметка о соответствии конфигурации;

• лицо, ответственное за контроль реализации правила;

• дата проведения контроля реализации.

Конфигурация средств защиты информации, реализующая правило, описана в организационно-распорядительной документации, созданной при реализации соответствующих мер защиты информации. Настоящая конфигурация средств защиты информации описана в отчете о работе выбранных средств инвентаризации настроек средств защиты информации.

Назначенное ответственным за контроль лицо обязано реализовать проверку соответствия настоящей конфигурации установленной. В случае обнаружения несоответствия к пункту отчета добавляются следующие поля:

• отметка об устранении несоответствия;

• описание устранения несоответствия;

• лицо, устранившее несоответствие;

• дата устранения несоответствия.

Проводящее контроль соответствия лицо устраняет несоответствие, если это возможно, и вносит соответствующие данные в отчет.

В случае если обнаружены неустранимые несоответствия, они выносятся в отдельный отчет, который передается лицам, ответственным за принятие решения о проведении мероприятий по устранению несоответствий. Данное лицо принимает решение о методе устранения несоответствия, соответствующего причине появления несоответствия. Решения по каждому несоответствию заносятся в план мероприятий по устранению несоответствий параметров настройки программного обеспечения и средств защиты информации с указанием ответственных за выполнение лиц и временных рамок исполнения. План приводится в исполнение с занесением соответствующей информации в отчет о контроле соответствия.

Полученный отчет подтверждает отсутствие несоответствий конфигурации средств защиты в информационной системе и верность реализации правил генерации и изменения паролей, создания и удаления учетных записей пользователей информационной системы, разграничения их доступа и полномочий.

5 Этап эксплуатации аттестованной системы защиты информации

На этапе эксплуатации каждое мероприятие необходимо производить с периодичностью, не превышающей рекомендованную.

5.1 Поиск уязвимостей информационной системы

Периодическое проведение выявления уязвимостей информационной системы на этапе эксплуатации аттестованной системы защиты информации включает в себя все мероприятия, проведенные на этапе внедрения информационной системы в эксплуатацию, с изменениями, предназначенными для обеспечения непрерывного функционирования информационной системы. Также необходимо проводить постоянное выявление уязвимостей нулевого дня.

5.1.1 С использованием общедоступных баз данных уязвимостей

Необходимо проводить поиск уязвимостей информационной системы с использованием баз данных уязвимостей (см. Порядок поиска уязвимостей информационной системы с использованием баз данных уязвимостей на этапе проектирования информационной системы).

Данное мероприятие необходимо проводить не реже, чем раз в квартал.

5.1.2 С использованием сканеров безопасности

Необходимо проводить поиск уязвимостей информационной системы с использованием сканеров безопасности (см. Порядок поиска уязвимостей информационной системы с использованием сканеров безопасности на этапе ввода информационной системы в эксплуатацию).

Данное мероприятие необходимо проводить не реже, чем раз в месяц.

Рекомендуется исключать из сценариев проверки сканеров безопасности те, которые могут нанести недопустимый ущерб функционированию информационной системы. Степень допустимого ущерба определяется оператором информационной системы. Возможно введение ограничения на обработку информации в информационной системе согласно организационно-распорядительным документам на время проведения поиска уязвимостей информационной системы с использованием сканеров безопасности.

5.1.3 Путем проведения тестирования информационной системы на проникновение

Необходимо проводить поиск уязвимостей информационной системы путем тестирования на проникновение (см. Порядок поиска уязвимостей информационной системы путем тестирования на проникновение на этапе ввода информационной системы в эксплуатацию). Данное мероприятие необходимо проводить не реже, чем раз в полгода.

Рекомендуется исключать из сценариев тестирования те, которые могут нанести недопустимый ущерб функционированию информационной системы. Степень допустимого ущерба определяется оператором информационной системы. Возможно введение ограничения на обработку информации в информационной системе согласно организационно-распорядительным документам на время проведения поиска уязвимостей информационной системы путем тестирования на проникновение.

5.1.4 Путем поиска уязвимостей нулевого дня

Необходимо создать перечень источников информации об уязвимостях нулевого дня. В качестве данных источников рекомендуется использовать следующие новостные сайты, специализирующиеся на вопросах информационной безопасности:

• Anti-Malware.ru;

• SecurityLab.ru;

• Cert.org;

• Secunia.

Возможно использование дополнительных источников информации об уязвимостях нулевого дня, выбранных оператором как доверенных.

Необходимо проводить ежедневный просмотр данных источников на предмет появления новых уязвимостей. Каждая найденная таким образом уязвимость вносится в промежуточный список возможных уязвимостей согласно ГОСТ Р 56545-2015. Далее необходимо провести поиск уязвимостей в информационной системе с использованием составленного списка в качестве общедоступной базы данных уязвимостей (см. Порядок поиска уязвимостей информационной системы с использованием баз данных уязвимостей на этапе проектирования информационной системы).

5.2 Контроль установки обновлений программного обеспечения и средств защиты информации

Необходимо проводить контроль установки обновлений программного обеспечения и средств защиты информации (см. Порядок проведения контроля установки обновлений программного обеспечения и средств защиты информации на этапе ввода информационной системы в эксплуатацию).

Данное мероприятие необходимо проводить не реже, чем раз в неделю.

На этапе эксплуатации в качестве опорного документа используется составленный на этапе введения в эксплуатацию перечень программного обеспечения и средств защиты информации. Данный документ теперь является частью эксплуатационной документации и изменяется в соответствии с проводимыми мероприятиями по контролю установки обновлений для отражения настоящих версий установленных в информационной системе программного обеспечения и средств защиты информации.

5.3 Контроль работоспособности программного обеспечения и средств защиты информации

Необходимо проводить постоянный контроль работоспособности (неотключения) программного обеспечения и средств защиты информации путем мониторинга журналов событий безопасности, созданных и ведущихся при реализации соответствующих мер защиты информации.

Необходимо назначить лицо, ответственное за мониторинг журнала событий безопасности. В случае если журнал фиксирует нарушение работоспособности, данное лицо обязано произвести проверку данного программного обеспечения или средства защиты информации. Если возможно устранить неработоспособность немедленно, ответственное лицо устраняет его. В ином случае необходимо перевести соответствующую часть информационной системы в режим ограниченной обработки информации согласно организационным документам на время устранения неработоспособности.

В процессе проведения действий по восстановлению работоспособности программного обеспечения или средства защиты информации необходимо составить отчет, состоящий из следующих полей:

• неработоспособный компонент информационной системы;

• причина неработоспособности;

• лицо, обнаружившее факт неработоспособности;

• время обнаружения неработоспособности;

• лицо, устранившее неработоспособность компонента;

• действия, восстановившие работоспособность;

• время восстановления работоспособности.

5.4 Контроль соответствия параметров конфигурации программного обеспечения и средств защиты информации эксплуатационной документации информационной системы

Необходимо проводить контроль соответствия параметров конфигурации программного обеспечения и средств защиты информации (см. Порядок проведения контроля соответствия параметров конфигурации программного обеспечения и средств защиты информации проектной документации на этапе ввода информационной системы в эксплуатацию).

Данное мероприятие необходимо проводить не реже, чем раз в месяц.

Характеристики

Список файлов ВКР