Методические рекомендации по определению настроек СЗИ (814190), страница 6
Текст из файла (страница 6)
Контроль (анализ) защищенности информации (АНЗ)
АНЗ.1 выявление, анализ и устранение уязвимостей информационной системы
Порядок определения параметров настройки технических средств защиты для реализации меры
А) Обеспечить обновление базы данных из доверенных источников
Б) Настроить систему поиска уязвимостей на: выявление уязвимостей, связанных с ошибками кода в ПО, ПО СЗИ, правильностью установки средств защиты, технических средств и ПО, а также корректностью работы средств защиты при их взаимодействии с ПО и техническими средствами
В) Определение параметров при принятии решения на усиление базового набора мер:
Таблица 51. Усиление базового набора мер АНЗ.1
| Мера, усиливающая базовый набор | Класс ИС | ||
| 1 | 2 | 3 | |
| Предоставить доступ к функциям выявления уязвимостей только администраторам безопасности | + | + | + |
АНЗ.2 контроль установки обновлений программного обеспечения, включая программное обеспечение средств защиты информации
Порядок определения параметров настройки технических средств защиты для реализации меры
А) Обеспечить получение ПО из доверенных источников
Б) Определить периодичность проверки обновлений ПО
Справочно:
При контроле установки обновлений осуществляются проверки установки обновлений баз данных признаков вредоносных компьютерных программ (вирусов) средств антивирусной защиты в соответствии с АВЗ.2, баз решающих правил систем обнаружения вторжений в соответствии с СОВ.2, баз признаков уязвимостей средств анализа защищенности и иных баз данных, необходимых для реализации функций безопасности средств защиты информации.
АНЗ.3 контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации
Порядок определения параметров настройки технических средств защиты для реализации меры
А) Определить периодичность контроля работоспособности
Б) Установить контроль соответствия настроек ПО и средств защиты, приведённым в эксплуатационной документации.
В) Определение параметров при принятии решения на усиление базового набора мер:
Таблица 52. Усиление базового набора мер АНЗ.3
| Мера, усиливающая базовый набор | Класс ИС | ||
| 1 | 2 | 3 | |
| Обеспечить регистрацию событий и оповещение администратора безопасности о событиях, связанных с нарушением работоспособности и параметров настройки программного обеспечения и средств защиты информации | + | + | |
АНЗ.4 контроль состава технических средств, программного обеспечения и средств защиты информации
Порядок определения параметров настройки технических средств защиты для реализации меры
А) Определить периодичность процедур контроля состава технических средств
Б) Определить периодичность проверки условий и сроков действия сертификатов
В) Определение параметров при принятии решения на усиление базового набора мер:
Таблица 53. Усиление базового набора мер АНЗ.4
| Мера, усиливающая базовый набор | Класс ИС | ||
| 1 | 2 | 3 | |
| Обеспечить регистрацию событий безопасности, связанных с изменением состава технических средств, программного обеспечения и средств защиты информации | + | + | |
АНЗ.5 контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе
Порядок определения параметров настройки технических средств защиты для реализации меры
Справочно:
При контроле правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе осуществляется:
-
контроль правил генерации и смены паролей пользователей в соответствии с ИАФ.1 и ИАФ.4;
-
контроль заведения и удаления учетных записей пользователей в соответствии с УПД.1;
-
контроль реализации правил разграничения доступом в соответствии с УПД.2;
-
контроль реализации полномочий пользователей в соответствии с УПД.4 и УПД.5.
А) Определение параметров при принятии решения на усиление базового набора мер:
Таблица 54. Усиление базового набора мер АНЗ.5
| Мера, усиливающая базовый набор | Класс ИС | ||
| 1 | 2 | 3 | |
| Обеспечить регистрацию событий, связанных со сменой паролей пользователей, заведением и удалением учетных записей пользователей, изменением правил разграничения доступом и полномочий пользователей. | + | + | |
Обеспечение целостности информационной системы и информации (ОЦЛ)
ОЦЛ.1 контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации
Порядок определения параметров настройки технических средств защиты для реализации меры
А) Обеспечить контроль целостности ПО, СЗИ и средств разработки
Б) Определить периодичность процедур тестирования
В) Определение параметров при принятии решения на усиление базового набора мер:
Таблица 55. Усиление базового набора мер ОЦЛ.1
| Мера, усиливающая базовый набор | Класс ИС | ||
| 1 | 2 | 3 | |
| Обеспечить контроль целостности средств защиты информации по контрольным суммам всех компонентов, как в процессе загрузки, так и динамически в процессе работы систем | + | + | |
| Обеспечить контроль целостности средств защиты информации с использованием криптографических методов в соответствии с законодательством РФ, всех компонентов средств защиты информации, как в процессе загрузки, так и динамически в процессе работы системы. | + | + | |
ОЦЛ.2 контроль целостности информации, содержащейся в базах данных информационной системы
Не требуется для КИ
ОЦЛ.3 обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций
А) Определить перечень ПО и ТСЗИ, для которых будут создаваться резервные копии
Пример заполнения перечня:
Таблица 56. Пример заполнения перечня "Резервируемые ПО и ТСЗИ"
| Перечень ПО и ТСЗИ, обладающих резервными копиями |
| Dallas Lock 8.0-C; |
| … |
| RedCheck; |
Б) Обеспечить создание резервных копий для компонентов, указанных в перечне
В) Определить периодичность создания резервных копий ПО и ТСЗИ
ОЦЛ.4 обнаружение и реагирование на поступление в информационную систему незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к функционированию информационной системы (защита от спама)
Порядок определения параметров настройки технических средств защиты для реализации меры
Справочно:
Защита от спама реализуется на точках входа (выхода) в информационную систему информационных потоков, а также на АРМ, серверах или мобильных технических средствах, подключенных к сетям связи общего пользования.
А) Составить перечень разрешённых («белых») отправителей электронных писем
Пример заполнения перечня:
Таблица 57. Пример заполнения перечня "Разрешённые отправители электронных писем"
| Перечень разрешённых отправителей электронных писем |
| … |
| IvanovII@gmail.com |
Б) Запретить приём писем от отправителей, не находящихся в «белом» списке
ОЦЛ.6 ограничение прав пользователей по вводу информации в информационную систему
Порядок определения параметров настройки технических средств защиты для реализации меры
А) Определить перечень пользователей, ограниченных в правах записи информации в ИС
Пример заполнения перечня:
Таблица 58. Пример заполнения перечня "Пользователи, ограниченные в правах на запись информации в ИС"
| Пользователи, ограниченные в правах на запись информации в ИС |
| User1 |
| … |
| User109 |
Обеспечение доступности информации (ОДТ)
ОДТ.1 использование отказоустойчивых технических средств
Порядок определения параметров настройки технических средств защиты для реализации меры
А) Определить перечень отказоустойчивых ТС
Пример заполнения перечня:
Таблица 59. Пример заполнения перечня "Отказоустойчивые технические средства"
| Отказоустойчивые ТС |
| Континент АПКШ |
| … |
| МЭ ЦИТАДЕЛЬ |
ОДТ.2 резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы
Порядок определения параметров настройки технических средств защиты для реализации меры
А) Определить перечень резервируемого ПО
Справочно:
Для реализации данной меры необходимо обеспечить создание резервных копий общесистемного, специального и прикладного программного обеспечения, а также программного обеспечения средств защиты информации, необходимых для обеспечения требуемых условий непрерывности функционирования информационной системы и доступности информации.
Пример заполнения перечня:
Таблица 60. Пример заполнения перечня "Резервируемое программное обеспечение"
| Резервируемое программное обеспечение |
| 1С бухгалтерия |
| … |
| Secret Net Studio |
ОДТ.3 контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование
Порядок определения параметров настройки технических средств защиты для реализации меры
Справочно:
Контроль безотказного функционирования проводится в отношении серверного и телекоммуникационного оборудования, каналов связи, средств обеспечения функционирования информационной системы путем периодической проверки работоспособности в соответствии с эксплуатационной документацией (в том числе путем посылки тестовых сообщений и принятия «ответов», визуального контроля, контроля трафика, контроля «поведения» системы или иными методами).
А) Реализовать меры по восстановлению отказавших средств в соответствии с ОЦЛ.3
Б) Определение параметров при принятии решения на усиление базового набора мер:














