Методические рекомендации по определению настроек СЗИ (814190), страница 9
Текст из файла (страница 9)
Таблица 84. Пример заполнения перечня "Пользователи, имеющие доступ к использованию технологий передачи видеоинформации"
| Пользователи, имеющие доступ к использованию технологий передачи видеоинформации | ФИО пользователя |
| User1 | Иванов И.И. |
| … | |
| Superadm | Петров П.П. |
В) Запретить удалённую конфигурацию устройств передачи видеоинформации
Г) Составить журнал использования устройств передачи видеоинформации
ЗИС.10 подтверждение происхождения источника информации, получаемой в процессе определения сетевых адресов по сетевым именам или определения сетевых имен по сетевым адресам
Не требуется для КИ
ЗИС.11 обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов
Порядок определения параметров настройки технических средств защиты для реализации меры
А) Обеспечить проверку подлинности сторон сетевого соединения в соответствии с ИАФ.2 и ЗИС.10
Б) Обеспечить проверку целостности передаваемых пакетов
В) Определение параметров при принятии решения на усиление базового набора мер:
Таблица 85. Усиление базового набора мер ЗИС.11
| Мера, усиливающая базовый набор | Класс ИС | ||
| 1 | 2 | 3 | |
| Признавать идентификатор сеанса связи недействительным после окончания сетевого соединения | + | ||
ЗИС.12 исключение возможности отрицания пользователем факта отправки информации другому пользователю
Порядок определения параметров настройки технических средств защиты для реализации меры
А) Определить перечень типов информации, для которых необходимо обеспечить неотказуемость отправки
Пример заполнения перечня:
Таблица 86. Пример заполнения перечня "Типы информации, требующие неотказуемость отправки"
| Типы информации, для которых обеспечивается неотказуемость отправки |
| Конфиденциальная информация |
| Системная информация |
Б) Создать журнал событий, связанный с отправкой информации другому пользователю
ЗИС.13 исключение возможности отрицания пользователем факта получения информации от другого пользователя
Порядок определения параметров настройки технических средств защиты для реализации меры
А) Определить перечень типов информации, для которых необходимо обеспечить неотказуемость получения
Пример заполнения перечня:
Таблица 87. Пример заполнения перечня "Типы информации, требующие неотказуемость получения"
| Типы информации, для которых обеспечивается неотказуемость получения |
| Конфиденциальная информация |
| Системная информация |
Б) Создать журнал событий, связанный с получением информации от другого пользователя
ЗИС.14 использование устройств терминального доступа для обработки информации
Не требуется для КИ
ЗИС.15 защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки информации
Порядок определения параметров настройки технических средств защиты для реализации меры
Справочно: защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки информации, обеспечивается принятием мер защиты информации, определенных оператором в соответствии с методическим документом ФСТЭКа «Меры защиты информации в государственных информационных системах».
А) Определить перечень информации, не подлежащей изменению в информационной системе
Пример заполнения перечня:
Таблица 88. Пример заполнения перечня "Типы информации, не подлежащей изменению"
| Типы информации, не подлежащей изменению |
| Системная информация |
ЗИС.16 выявление, анализ и блокирование в информационной системе скрытых каналов передачи информации в обход реализованных мер защиты информации или внутри разрешенных сетевых протоколов
Не требуется для КИ
ЗИС.17 разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы
Порядок определения параметров настройки технических средств защиты для реализации меры
А) Определить сегменты информационной системы (при необходимости)
Б) Определить классы защищённости сегментов (при необходимости)
ЗИС.18 обеспечение загрузки и исполнения программного обеспечения с машинных носителей информации, доступных только для чтения, и контроль целостности данного программного обеспечения
Не требуется для КИ
ЗИС.19 изоляция процессов (выполнение программ) в выделенной области памяти
Не требуется для КИ
ЗИС.20 защита беспроводных соединений, применяемых в информационной системе
Порядок определения параметров настройки технических средств защиты для реализации меры
Справочно: при обеспечении защиты беспроводных соединений в зависимости от их типов должны реализовываться меры по идентификации и аутентификации в соответствии с ИАФ.1, ИАФ.2 и ИАФ.6. При невозможности исключения установления беспроводных соединений из-за пределов контролируемой зоны должны приниматься меры защищенного удаленного доступа в соответствии с УПД.13 и ЗИС.3.
А) Ограничить использование беспроводных соединений в соответствии с функциями информационной системы
Б) Оставить доступ к параметрам настройки беспроводных соединений только администраторам
В) Составить перечень интерфейсов, через которые реализуются беспроводные соединения и отключить остальные
Пример заполнения перечня:
Таблица 89. Пример заполнения перечня "Интерфейсы, реализующие беспроводное соединение"
| Интерфейсы, через которые реализуются беспроводные соединения | Техническое средство | Идентификатор технического средства |
| Сетевая карта Realtek RTL8723AE Wireless LAN 802.11n PCI-E | Стоечный сервер Dell PowerEdge R220 | zz-zz-zz |
Г) Создать журнал событий, связанный с использованием беспроводных соединений
ЗИС.21 исключение доступа пользователя к информации, возникшей в результате действий предыдущего пользователя через реестры, оперативную память, внешние запоминающие устройства и иные общие для пользователей ресурсы информационной системы
Порядок определения параметров настройки технических средств защиты для реализации меры
А) Включить затирание памяти и реестров после выхода пользователя из системы
ЗИС.22 защита информационной системы от угроз безопасности информации, направленных на отказ в обслуживании этой информационной системы
Порядок определения параметров настройки технических средств защиты для реализации меры
А) Определить перечень угроз безопасности информации, направленных на отказ в обслуживании
Пример заполнения перечня:
Таблица 90. Пример заполнения перечня "Угрозы безопасности информации, направленных на отказ в обслуживании"
| Угроза безопасности информации | Техническое средство | Идентификатор технического средства |
| Явный отказ в обслуживании, вызванный передачей пакета с нестандартными атрибутами | Стоечный сервер Dell PowerEdge R220 | zz-zz-zz |
| … | … | … |
| Скрытый отказ в обслуживании, вызванный привлечением части ресурсов ИС на обработку пакетов | Стоечный сервер Dell PowerEdge R220 | zz-zz-zz |
Б) Произвести резервирование в соответствии с ОДТ.2 ОДТ.4 и ОДТ.5
ЗИС.23 защита периметра (физических и (или) логических границ) информационной системы при ее взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями
Порядок определения параметров настройки технических средств защиты для реализации меры
А) Настроить управление входящими (исходящими) потоками в соответствии с физической (логической) границей информационной системы
Б) Определить перечень сетевых интерфейсов, которые обеспечивают контроль информационных потоков при взаимодействии с иными информационными системами и сетями
Пример заполнения перечня:
Таблица 91. Пример заполнения перечня "Интерфейсы, реализующие соединения с иными ИС"
| Интерфейсы, через которые реализуются соединения | Техническое средство | Идентификатор технического средства |
| Сетевая карта Realtek RTL8723AE LAN 802.11n PCI-E | Стоечный сервер Dell PowerEdge R220 | zz-zz-zz |
В) Отключить иные сетевые интерфейсы
Г) Определение параметров при принятии решения на усиление базового набора мер:
Таблица 92. Усиление базового набора мер ЗИС.23
| Мера, усиливающая базовый набор | Класс ИС | ||
| 1 | 2 | 3 | |
| Обеспечить возможность размещения общедоступных ресурсов в информационной системе; | + | + | |
| Обеспечить доступ во внутренние сегменты информационной системы только через средства защиты периметра (за исключением специально выделенных сегментов) | + | + | |
| Оставить минимально необходимое количество точек доступа в информационную систему для выполнения её функций | + | + | |
| Установить ограничение по количеству телекоммуникационных сервисов – по одному на каждый физический управляемый сетевой интерфейс | + | + | |
| Реализовать правила управления информационными потоками для каждого физического управляемого сетевого интерфейса | + | + | |
| Реализовать криптографическую защиту информации путём криптографических методов шифрования | + | + | |
| Составить документы, в которых содержится обоснование, документирование и длительность всех исключений из правил управления информационными потоками | + | ||
| Включить удаление исключений после истечения установленного срока длительности; | + | ||
| Запретить по умолчанию выход информационных потоков через контролируемые сетевые интерфейсы; | + | + | |
| Обеспечить запрет передачи информации за пределы периметра информационной системе при отказе функционирования средств защиты периметра; | + | ||
| Запретить взаимодействие мобильных и иных технических средств с внешними информационными системами; | + | ||
ЗИС.24 прекращение сетевых соединений по их завершении или по истечении заданного оператором временного интервала неактивности сетевого соединения
Порядок определения параметров настройки технических средств защиты для реализации меры
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
