Методические рекомендации по определению настроек СЗИ (814190), страница 4
Текст из файла (страница 4)
Таблица 28. Усиление базового набора мер УПД 17
| Мера, усиливающая базовый набор | Класс ИС | ||
| 1 | 2 | 3 | |
| Задействовать доверенную загрузку уровня базовой системы ввода-вывода или уровня платы расширения; | + | ||
| Задействовать доверенную загрузку уровня базовой системы ввода-вывода или уровня платы расширения, реализованные на основе программно-аппаратного модуля; | + | ||
Ограничение программной среды (ОПС)
ОПС.1 управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспечения
Порядок определения параметров настройки технических средств защиты для реализации меры
А) Составление перечня компонентов ПО, запускаемых автоматически при загрузке ОС и разрешение их запуска
Пример составления перечня:
Таблица 29. Пример составления перечня "Автоматически загружаемое ПО"
| Программное обеспечение | Разрешена автозагрузка |
| Kaspersky Free | Да |
| … | … |
| Kaspersky Security Connection | Да |
Б) Ограничение запуска компонентов ПО от имени администратора безопасности
В) Обеспечение контроля работы компонентов ПО, контролирующих выявление не включённых в перечень компонентов, запускаемых при загрузке ОС
Г) Определение параметров при принятии решения на усиление базового набора мер:
Таблица 30. Усиление базового набора мер ОПС.1
| Мера, усиливающая базовый набор | Класс ИС | ||
| 1 | 2 | 3 | |
| Разрешить запуск только тех программных компонентов, которые явно разрешены администратором безопасности | + | ||
| Использовать средства автоматизированного контроля перечня компонентов программного обеспечения, запускаемого автоматически при загрузке операционной системы | + | ||
| Использовать автоматизированные механизмы управления запуском компонентов программного обеспечения | + | ||
ОПС.2 управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения
Порядок определения параметров настройки технических средств защиты для реализации меры
А) Составить перечень подлежащих установке в информационной системе после загрузки операционной системы компонентов ПО – «белый список»
Пример заполнения перечня:
Таблица 31. Пример заполнения перечня "Подлежащие установке компоненты ПО"
| Компоненты ПО | Разрешить установку после загрузки ОС |
| MS Office | Да |
| … | … |
| Adobe Acrobat Reader | Да |
Б) Определение конфигурации устанавливаемых компонентов
В) Определение и применение параметров настройки компонентов ПО, обеспечивающих реализацию мер защиты информации
Г) Определение параметров при принятии решения на усиление базового набора мер:
Таблица 32. Усиление базового набора мер ОПС.2
| Мера, усиливающая базовый набор | Класс ИС | ||
| 1 | 2 | 3 | |
| Использовать средства автоматизации для применения и контроля параметров настройки компонентов программного обеспечения, влияющих на безопасность информации; | + | ||
ОПС.3 установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов
Порядок определения параметров настройки технических средств защиты для реализации меры
А) Установка компонентов ПО только из «белого списка»
Б) Обеспечение контроля установленного ПО на предмет соответствия его перечню «белого списка»
ОПС.4 управление временными файлами, в том числе запрет, разрешение, перенаправление записи, удаление временных файлов
Не требуется для КИ
Защита машинных носителей информации (ЗНИ)
ЗНИ.1 учет машинных носителей информации
Порядок определения параметров настройки технических средств защиты для реализации меры
Справочно:
Учету подлежат:
-
съемные машинные носители информации;
-
портативные вычислительные устройства со встроенными носителями информации;
-
машинные носители информации, встроенные в корпус средств вычислительной техники.
А) Составить перечень машинных носителей информации
Пример заполнения перечня:
Таблица 33. Пример заполнения перечня "Машинные носители информации"
| Машинный носитель | Идентификатор |
| Seagate H11 250Gb | ААААА |
| … | … |
| Seagate H1 250Gb | ККККК |
Б) Завести журнал учёта машинных носителей информации (технических средств в случае, когда носитель информации находится в составе технического средства)
В) Определение параметров при принятии решения на усиление базового набора мер:
Таблица 34. Усиление базового набора мер ЗНИ.1
| Мера, усиливающая базовый набор | Класс ИС | ||
| 1 | 2 | 3 | |
| Обеспечить маркировку машинных носителей информации, дополнительно включающую информацию о возможности использования машинного носителя информации вне информационной системы; | + | + | |
| Обеспечить маркировку машинных носителей информации, дополнительно включающую информацию о возможности использования машинного носителя информации за пределами контролируемой зоны; | + | ||
ЗНИ.2 управление доступом к машинным носителям информации
Порядок определения параметров настройки технических средств защиты для реализации меры
А) Создать перечень должностных лиц, имеющих доступ к машинным носителям информации
Пример составления перечня:
Таблица 35. Пример заполнения перечня "Лица, имеющие доступ к машинным носителям информации"
| ФИО должностного лица |
| Иванов И.И. |
| … |
| Сахаров К.А. |
ЗНИ.3 контроль перемещения машинных носителей информации за пределы контролируемой зоны
Не требуется для КИ
ЗНИ.4 исключение возможности несанкционированного ознакомления с содержанием информации, хранящейся на машинных носителях, и (или) использования носителей информации в иных информационных системах
Не требуется для КИ
ЗНИ.5 контроль использования интерфейсов ввода (вывода)
Порядок определения параметров настройки технических средств защиты для реализации меры
А) Составление перечня интерфейсов средств вычислительной техники, использующихся для ввода/вывода информации
Пример составления перечня:
Таблица 36. Пример заполнения перечня "Интерфейсы, используемые для ввода/вывода информации"
| Интерфейс | АРМ | Идентификатор |
| Сетевая карта Realtek RTL8723AE Wireless LAN 802.11n PCI-E | 1 | gg-gg-gg |
| … | … | … |
| Сетевая карта Realtek RTL8723AE Wireless LAN 802.11n PCI-E | 109 | hh-hh-hh |
Б) Составление перечня категорий пользователей, которым предоставлен доступ к использующимся интерфейсам
Пример составления перечня:
Таблица 37. Пример заполнения перечня "Категории пользователей, имеющие доступ к использующимся интерфейсам".
| Категория пользователей | Доступ к интерфейсам ввода-вывода |
| Системный администратор | Есть |
| Администратор безопасности | Есть |
В) Реализация мер, исключающих возможность использования не разрешённых интерфейсов
Г) Определение параметров при принятии решения на усиление базового набора мер:
Таблица 38. Усиление базового набора мер ЗНИ.5
| Мера, усиливающая базовый набор | Класс ИС | ||
| 1 | 2 | 3 | |
| Обеспечить регистрацию использования интерфейсов ввода (вывода) в соответствии с РСБ.3 | + | ||
ЗНИ.6 контроль ввода (вывода) информации на машинные носители информации
Не требуется для КИ
ЗНИ.7 контроль подключения машинных носителей информации
Не требуется для КИ
ЗНИ.8 уничтожение (стирание) информации на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания)
Порядок определения параметров настройки технических средств защиты для реализации меры
А) Определить список процедур уничтожения (затирания) информации на машинных носителях
Б) Определить список процедур контроля уничтожения (затирания) информации
В) Определение параметров при принятии решения на усиление базового набора мер:
Таблица 39. Усиление базового набора мер ЗНИ.8
| Мера, усиливающая базовый набор | Класс ИС | ||
| 1 | 2 | 3 | |
| Создать журнал регистрации действий по удалению защищаемой информации и уничтожению машинных носителей информации | + | + | + |
| Осуществить перезапись уничтожаемых файлов случайной битовой последовательностью, удаление записи о файлах, обнуление журнала файловой системы или полную перезапись всего адресного пространства машинного носителя информации случайной битовой последовательностью с последующим форматированием | + | ||
| Производить очистку всего физического пространства машинного носителя информации, включая сбойные и резервные элементы памяти специализированными программами или утилитами производителя | + | ||
| Производить полную многократную перезапись машинного носителя информации специальными битовыми последовательностями, зависящими от типа накопителя и используемого метода кодирования информации, затем очистку всего физического пространства накопителя, включая сбойные и резервные элементы памяти специализированными программами или утилитами производителя | + | ||
Регистрация событий безопасности (РСБ)
РСБ.1 определение событий безопасности, подлежащих регистрации, и сроков их хранения
Порядок определения параметров настройки технических средств защиты для реализации меры
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
