Методические рекомендации по определению настроек СЗИ (814190), страница 3
Текст из файла (страница 3)
Таблица 13. Усиление базового набора мер УПД.5
| Мера, усиливающая базовый набор | Класс ИС | ||
| 1 | 2 | 3 | |
| Оператором должно быть обеспечено выполнение каждой роли по обработке информации, администрированию информационной системы, ее системы защиты информации, контролю (мониторингу) за обеспечением уровня защищенности информации, обеспечению функционирования информационной системы отдельным должностным лицом | + | ||
УПД.6 ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе)
Порядок определения параметров настройки технических средств защиты для реализации меры
А) Ограничение количества неуспешных попыток входа в ИС (в соответствии с ИАФ.4)
Справочно:
Таблица 14.Количество попыток неудачного входа
| Количество попыток неудачного входа | ||
| Класс ИС | 1 | От 3 до 4 |
| 2 | От 3 до 8 | |
| 3 | От 3 до 10 | |
Б) Определение параметров при принятии решения на усиление базового набора мер:
Таблица 15. Усиление базового набора мер УПД.6
| Мера, усиливающая базовый набор | Класс ИС | ||
| 1 | 2 | 3 | |
| Включать блокировку устройства (учётной записи), у которого превышено ограничение попыток входа | + | ||
УПД.9 ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы
Порядок определения параметров настройки технических средств защиты для реализации меры
А) Определение максимального числа параллельных сеансов
Справочно:
Таблица 16. Ограничение числа параллельных сеансов
| Число параллельных сеансов | ||
| Класс ИС | 1 | Ограниченное |
| 2 | Неограниченное | |
| 3 | Неограниченное | |
Б) Определение параметров при принятии решения на усиление базового набора мер:
Таблица 17. Усиление базового набора мер УПД.9
| Число параллельных сеансов | ||
| Класс ИС | 1 | Не более 2 |
| 2 | Неограниченное | |
| 3 | Неограниченное | |
А также необходимо включить отображение количества параллельных сеансов для каждого пользователя у Администратора безопасности;
УПД.10 блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу
Порядок определения параметров настройки технических средств защиты для реализации меры
А) Определение необходимости блокировки пользователя после установленного времени бездействия
Справочно:
Таблица 18. Необходимость блокировки пользователя
| Необходимость блокировки | ||
| Класс ИС | 1 | Присутствует |
| 2 | Присутствует | |
| 3 | Присутствует | |
Б) Определение параметров при принятии решения на усиление базового набора мер:
Таблица 19. Время и способ блокировки пользователя
| Время неактивности до блокировки | Способ блокировки | ||
| Класс ИС | 1 | До 5 минут | Завершение сеанса |
| 2 | До 15 минут | Завершение сеанса | |
| 3 | Определяется оператором | Определяется оператором | |
УПД.11 разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации
Порядок определения параметров настройки технических средств защиты для реализации меры
А) Определение действий, разрешённых до идентификации и аутентификации
Пример:
-
Включение АРМ
-
Выключение АРМ
-
Перезагрузка АРМ
-
Смена пользователя
-
Смена языка
-
В случае подключения через Интернет – доступ к информационным ресурсам
Б) Разрешение администратору действий в обход установленных процедур идентификации
УПД.13 реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети
Порядок определения параметров настройки технических средств защиты для реализации меры
А) Установление видов доступа, разрешённых для удалённого доступа к объектам доступа ИС (в соответствии с УПД.2)
Пример заполнения формы параметров настроек:
Таблица 20. Пример заполнения формы "Матрица доступа"
| Учётная запись СЗИ | Уровень доступа |
| Superadm | 3 |
| Admin | 2 |
| User | 1 |
| Guest | 0 |
| Secserver | 3 |
Б) Определение параметров при принятии решения на усиление базового набора мер:
Таблица 21. Усиление базового набора мер УПД.13
| Мера, усиливающая базовый набор | Класс ИС | ||
| 1 | 2 | 3 | |
| Удалённый доступ администраторов | |||
| Ограничение количества точек обучения | + | + | + |
| Обеспечение мониторинга и контроля удалённого доступа на предмет выявления несанкционированного соединения технических средств с ИС | + | + | |
УПД.14 регламентация и контроль использования в информационной системе технологий беспроводного доступа
Порядок определения параметров настройки технических средств защиты для реализации меры
А) Ограничение использования технологий беспроводного доступа в соответствии с задачами информационной системы
Б) Включить мониторинг применения технологий беспроводного доступа
В) Настройка беспроводного доступа пользователей к объектам доступа информационной системы
Г) Определение параметров при принятии решения на усиление базового набора мер:
Таблица 22. Усиление базового набора мер УПД.14
| Мера, усиливающая базовый набор | Класс ИС | ||
| 1 | 2 | 3 | |
| Обеспечить аутентификацию подключаемых по беспроводной связи устройств в соответствии с ИАФ.2 | + | + | + |
| Заблокировать пользователям настройку беспроводных точек | + | + | |
| Запретить беспроводной доступ из за пределов контролируемой зоны | + | ||
| Запретить беспроводной доступ для настройки параметров информационной системы и средств защиты; | + | ||
УПД.15 регламентация и контроль использования в информационной системе мобильных технических средств
Порядок определения параметров настройки технических средств защиты для реализации меры
Справочно: в качестве мобильных технических средств рассматриваются съемные машинные носители информации (флэш-накопители, внешние накопители на жестких дисках и иные устройства), портативные вычислительные устройства и устройства связи с возможностью обработки информации.
А) Определить виды доступа, для которых разрешено использование мобильных технических средств
Б) Определить мобильные средства, в которых реализованы меры защиты в соответствии с ЗИС.30
Пример заполнения перечня защищённых мобильных средств:
Таблица 23. Пример заполнения перечня "Защищённые мобильные средства"
| Защищённое мобильное средство | Идентификатор |
| Seagate IronWolf | AA-AA-AA |
| … | |
| Seagate IronWolf Pro | ZZ-ZZ-ZZ |
В) Ограничить использование мобильных технических средств в соответствии с задачами информационной системы
Г) Запретить возможность запуска вредоносного кода без команды пользователя при взаимодействии с мобильным техническим средством
Д) Определение параметров при принятии решения на усиление базового набора мер:
Таблица 24. Усиление базового набора мер УПД.15
| Мера, усиливающая базовый набор | Класс ИС | ||
| 1 | 2 | 3 | |
| Запретить использование съёмных носителей информации, не входящих в состав информационной системы; | + | + | |
| Запретить использование съёмных носителей информации, для которых не определён владелец; | + | + | |
УПД.16 управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы)
Порядок определения параметров настройки технических средств защиты для реализации меры
А) Определить системные учётные записи, используемые в рамках взаимодействия
Пример заполнения формы:
Таблица 25. Заполнение формы "Учётные записи, имеющие доступ к внешним ИС"
| Системная учётная запись | Используется для взаимодействия с внешними ИС |
| Superadm | Нет |
| Admin | Нет |
| SecServer | Нет |
Б) Определение программного обеспечения, к которому разрешен доступ из внешних информационных систем
Пример заполнения формы:
Таблица 26. Пример заполнения формы "ПО, к которому разрешён доступ из внешних ИС"
| Программное обеспечение | Разрешён доступ из внешних ИС |
| MS Office 365 | Да |
| … | … |
| Nmap | Нет |
В) Определение порядка обработки, хранения и передачи информации с использованием внешних информационных систем
Г) Определение параметров при принятии решения на усиление базового набора мер:
Таблица 27. Усиление базового набора мер УПД.16
| Мера, усиливающая базовый набор | Класс ИС | ||
| 1 | 2 | 3 | |
| Для предоставления доступа к информационной системе авторизованным пользователям внешних информационных систем необходим договор об информационном взаимодействии с оператором внешней информационной системы, а также наличие подтверждения выполнения во внешней информационной системе предъявленных к ней требований о защите информации; | + | + | + |
УПД.17 обеспечение доверенной загрузки средств вычислительной техники
Порядок определения параметров настройки технических средств защиты для реализации меры
А) Включить доверенной загрузки ОС
Б) Включить контроль целостности ПО
В) Определение параметров при принятии решения на усиление базового набора мер:












