Методические рекомендации по определению настроек СЗИ (814190), страница 8
Текст из файла (страница 8)
Таблица 71. Усиление базового набора мер ЗСВ.9
| Мера, усиливающая базовый набор | Класс ИС | ||
| 1 | 2 | 3 | |
| Оставить доступ к управлению средствами антивирусной защиты только привилегированным пользователям. | + | + | |
ЗСВ.10 разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки информации отдельным пользователем и (или) группой пользователей
Порядок определения параметров настройки технических средств защиты для реализации меры
А) Разделить виртуальную инфраструктуру на сегменты в соответствии с количеством пользователей
Б) Определение параметров при принятии решения на усиление базового набора мер:
Таблица 72. Усиление базового набора мер ЗСВ 10
| Мера, усиливающая базовый набор | Класс ИС | ||
| 1 | 2 | 3 | |
| Выделить серверы управления виртуализацией в отдельный сегмент (сегменты); | + | ||
Защита технических средств (ЗТС)
ЗТС.1 защита информации, обрабатываемой техническими средствами, от ее утечки по техническим каналам
Не требуется для КИ
ЗТС.2 организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования
Не требуется для определения параметров настроек средств защиты
ЗТС.3 контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы и помещения и сооружения, в которых они установлены
Не требуется для определения параметров настроек средств защиты
ЗТС.4 размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр
Не требуется для определения параметров настроек средств защиты
ЗТС.5 защита от внешних воздействий (воздействий окружающей среды, нестабильности электроснабжения, кондиционирования и иных внешних факторов)
Не требуется для определения параметров настроек средств защиты
Защита информационной системы, ее средств и систем связи и передачи данных (ЗИС)
ЗИС.1 разделение в информационной системе функций по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты информации, функций по обработке информации и иных функций информационной системы
Порядок определения параметров настройки технических средств защиты для реализации меры
А) Разделение полномочий пользователей
Пример формы для заполнения параметров настройки:
Таблица 73. Пример заполнения формы "Полномочия пользователей"
| Пользователь | Полномочия |
| Администратор безопасности | Кроме прав «системного администратора», есть права на администрирование системой защиты информации; |
| Системный администратор | Кроме прав «пользователя», есть права на запись и удаление конфиденциальной информации, а так же права на администрирование ИС |
| Пользователь | Чтение/запись/удаление общедоступной информации, запуск необходимых для выполнения должностных обязанностей программ, запись данных на мобильные носители, чтение конфиденциальной информации; |
| Гость | Только чтение общедоступной информации |
| Сервер безопасности | Есть права только на удалённую настройку АРМ |
Б) Определение параметров при принятии решения на усиление базового набора мер:
Таблица 74. Усиление базового набора мер ЗИС.1
| Мера, усиливающая базовый набор | Класс ИС | ||
| 1 | 2 | 3 | |
| Выделить АРМы для администраторов безопасности | + | + | |
ЗИС.2 предотвращение задержки или прерывания выполнения процессов с высоким приоритетом со стороны процессов с низким приоритетом
Не требуется для КИ
ЗИС.3 обеспечение защиты информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны
Порядок определения параметров настройки технических средств защиты для реализации меры
А) Обеспечить шифрование информации при выходе из контролируемой зоны
ЗИС.4 обеспечение доверенных канала, маршрута между администратором, пользователем и средствами защиты информации (функциями безопасности средств защиты информации)
Не требуется для КИ1
ЗИС.5 запрет несанкционированной удаленной активации видеокамер, микрофонов и иных периферийных устройств, которые могут активироваться удаленно, и оповещение пользователей об активации таких устройств
Порядок определения параметров настройки технических средств защиты для реализации меры
А) Составить перечень программ, имеющих доступ к периферийным устройствам ввода-вывода и запретить доступ остальным
Пример заполнения перечня:
Таблица 75. Пример заполнения перечня "Программы, имеющие доступ к периферийным устройствам ввода-вывода"
| Перечень программ, имеющих доступ к периферийным устройствам ввода-вывода |
| Microsoft Azure |
| … |
| Skype |
Б) Составить перечень устройств, для которых возможен удалённый запуск
Пример заполнения перечня:
Таблица 76. Пример заполнения перечня "Устройства, для которых возможен удалённый запуск"
| Перечень устройств, для которых возможен удалённый запуск |
| Видеокамера Asus |
| … |
| Микрофон Logitec |
В) Определение параметров при принятии решения на усиление базового набора мер:
Таблица 77. Усиление базового набора мер ЗИС.5
| Мера, усиливающая базовый набор | Класс ИС | ||
| 1 | 2 | 3 | |
| Составить список устройств, которые могут быть отключены физически | + | + | |
| Заблокировать трафик от пользователей систем, представляющих внешние сервисы, в которых параметры настройки устанавливаются операторами или самими пользователями; | + | ||
ЗИС.6 передача и контроль целостности атрибутов безопасности (меток безопасности), связанных с информацией, при обмене информацией с иными информационными системами
Не требуется для КИ
ЗИС.7 контроль санкционированного и исключение несанкционированного использования технологий мобильного кода, в том числе регистрация событий, связанных с использованием технологии мобильного кода, их анализ и реагирование на нарушения, связанные с использованием технологии мобильного кода
Порядок определения параметров настройки технических средств защиты для реализации меры
А) Определить перечень разрешённых технологий мобильного кода и запретить остальные
Пример заполнения перечня:
Таблица 78. Пример заполнения перечня «Разрешённые технологии мобильного кода»
| Разрешённые технологии мобильного кода |
| JavaScript |
| … |
| |
Б) Определить перечень мест разрешённого использования мобильного кода (АРМ, сервера)
Пример заполнения перечня:
Таблица 79. Пример заполнения перечня "Места разрешённого использования мобильного кода"
| Техническое средство, где разрешены технологии использования мобильного кода | Идентификатор средства | Разрешённые технологии мобильного кода |
| АРМ 1 | aa-aa-aa | JavaScript, PDF |
| … | ||
| Стоечный сервер power edge | zz-zz-zz | JavaScript, PDF |
В) Составить журнал использований и внедрений мобильного кода
Г) Определение параметров при принятии решения на усиление базового набора мер:
Таблица 80. Усиление базового набора мер ЗИС.7
| Мера, усиливающая базовый набор | Класс ИС | ||
| 1 | 2 | 3 | |
| Реализовать механизмы обнаружения и анализа мобильного кода для выявления фактов несанкционированного использования мобильного кода и выполнения действий по реагированию, определяемые оператором | + | + | |
| Запретить загрузку и выполнение запрещенного мобильного кода | + | ||
ЗИС.8 контроль санкционированного и исключение несанкционированного использования технологий передачи речи, в том числе регистрация событий, связанных с использованием технологий передачи речи, их анализ и реагирование на нарушения, связанные с использованием технологий передачи речи
Порядок определения параметров настройки технических средств защиты для реализации меры
А) Составить перечень разрешённых сервисов передачи речи и запретить остальные
Пример заполнения перечня:
Таблица 81. Пример заполнения перечня "Разрешённые сервисы передачи речи"
| Разрешённые сервисы передачи речи |
| VoIP |
| … |
| Skype |
Б) Составить перечень пользователей, для которых разрешено использование, разработка или приобретение технологий передачи речи и запретить остальным
Пример заполнения перечня:
Таблица 82. Пример заполнения перечня "Пользователи, имеющие доступ к использованию технологий передачи речи"
| Пользователи, имеющие доступ к использованию технологий передачи речи | ФИО пользователя |
| User1 | Иванов И.И. |
| … | |
| Superadm | Петров П.П. |
В) Запретить удалённую конфигурацию устройств передачи речи
Г) Составить журнал использования устройств передачи речи
ЗИС.9 контроль санкционированной и исключение несанкционированной передачи видеоинформации, в том числе регистрация событий, связанных с передачей видеоинформации, их анализ и реагирование на нарушения, связанные с передачей видеоинформации
Порядок определения параметров настройки технических средств защиты для реализации меры
Справочно: технология передачи видеоинформации включает, в том числе, применение технологий видеоконференцсвязи.
А) Составить перечень разрешённых сервисов передачи видеоинформации и запретить остальные
Пример заполнения перечня:
Таблица 83. Пример заполнения перечня "Разрешённые сервисы передачи видеоинформации"
| Разрешённые сервисы передачи видеоинформации |
| Discord |
| … |
| Skype |
Б) Составить перечень пользователей, для которых разрешено использование, разработка или приобретение технологий передачи видеоинформации и запретить остальным















