Базовый состав мер. Базовый состав мер защиты информации
 Скачать 92.99 Kb.
|
|
5. Обеспечение защиты вычислительных сетей (СМЭ) | ||||
| 5.1 Сегментация и межсетевое экранирование внутренних вычислительных сетей | ||||
| СМЭ.1 | Выделение в вычислительных сетях финансовой организации отдельных сегментов (групп сегментов), предназначенных для размещения информационной инфраструктуры каждого из контуров безопасности (далее – сегменты контуров безопасности) | Н | Т | Т |
| СМЭ.2 | Реализация сетевого взаимодействия и сетевой изоляции на уровне не выше третьего (сетевой) по семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1, сегментов контуров безопасности и внутренних вычислительных сетей финансовой организации, не предназначенных для размещения информационной инфраструктуры, входящей в контуры безопасности (далее – иные внутренние вычислительные сети финансовой организации) | Н | Т | Т |
| СМЭ.3 | Межсетевое экранирование вычислительных сетей сегментов контуров безопасности, включая фильтрацию данных на сетевом и прикладном уровнях семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1 | Н | Т | Т |
| СМЭ.4 | Реализация и контроль информационного взаимодействия между сегментами контуров безопасности и иными внутренними вычислительными сетями финансовой организации в соответствии с установленными правилами и протоколами сетевого взаимодействия | Н | Т | Т |
| СМЭ.5 | Реализация и контроль информационного взаимодействия с применением программных шлюзов между сегментами контуров безопасности и иными внутренними вычислительными сетями финансовой организации с целью обеспечения ограничения и контроля на передачу данных по инициативе субъектов логического доступа | Н | Н | Т |
| СМЭ.6 | Выделение в вычислительных сетях финансовой организации отдельных сегментов (групп сегментов), предназначенных для размещения информационной инфраструктуры, используемой только на этапе создания и (или) модернизации АС. в том числе тестирования ПО и СВТ (далее — сегмент разработки и тестирования) | Н | Т | Т |
| СМЭ.7 | Реализация запрета сетевого взаимодействия сегмента разработки и тестирования и иных внутренних вычислительных сетей финансовой организации по инициативе сегмента разработки и тестирования | Н | Т | Т |
| СМЭ.8 | Выделение в составе сегментов контуров безопасности отдельных пользовательских сегментов, в которых располагаются только АРМ пользователей | Н | Н | Т |
| СМЭ.9 | Выделение в составе сегментов контуров безопасности отдельных сегментов управления, в которых располагаются только АРМ эксплуатационного персонала, используемые для выполнения задач администрирования информационной инфраструктуры | Н | Н | Т |
| СМЭ.10 | Выделение в составе сегментов контуров безопасности отдельных сегментов хранения и обработки данных, в которых располагаются ресурсы доступа, предназначенные для обработки и хранения данных, серверное оборудование и системы хранения данных | Н | Н | Т |
| СМЭ.11 | Выделение отдельных сегментов для размещения общедоступных объектов доступа (в том числе банкоматов, платежных терминалов) | Н | Т | Т |
| СМЭ.12 | Реализация и контроль информационного взаимодействия между сегментами вычислительных сетей, определенных мерами СМЭ.8 – СМЭ.11, и иными сегментами вычислительных сетей в соответствии с установленными правилами и протоколами сетевого взаимодействия | Н | Н | Т |
| СМЭ.13 | Контроль содержимого информации при ее переносе из сегментов или в сегменты контуров безопасности с использованием переносных (отчуждаемых) носителей информации | Н | О | Т |
| 5.2 Защита внутренних вычислительных сетей при взаимодействии с сетью Интернет | ||||
| СМЭ.14 | Реализация сетевого взаимодействия и сетевой изоляции на уровне не выше второго (канальный) по семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1, внутренних вычислительных сетей финансовой организации и сети Интернет | Н | Т | Т |
| СМЭ.15 | Реализация сетевого взаимодействия и сетевой изоляции на уровне не выше третьего (сетевой) по семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1, внутренних вычислительных сетей финансовой организации и сети Интернет | Т | Н | Н |
| СМЭ.16 | Межсетевое экранирование внутренних вычислительных сетей финансовой организации, включая фильтрацию данных на сетевом и прикладном уровнях семиуровневой стандартной модели взаимодействия открытых систем. определенной в ГОСТ Р ИСО/МЭК 7498-1 | Т | Т | Т |
| СМЭ.17 | Реализация и контроль информационного взаимодействия внутренних вычислительных сетей финансовой организации и сети Интернет в соответствии с установленными правилами и протоколами сетевого взаимодействия | Т | Т | Т |
| СМЭ.18 | Сокрытие топологии внутренних вычислительных сетей финансовой организации | Т | Т | Т |
| СМЭ.19 | Реализация сетевого взаимодействия внутренних вычислительных сетей финансовой организации и сети Интернет через ограниченное количество контролируемых точек доступа | Т | Т | Т |
| СМЭ.20 | Реализация почтового обмена с сетью Интернет через ограниченное количество контролируемых точек информационного взаимодействия, состоящих из внешнего (подключенного к сети Интернет) и внутреннего (размещенного во внутренних сетях финансовой организации) почтовых серверов с безопасной репликацией почтовых сообщений между ними | Н | Т | Т |
| 5.3Регистрация событий защиты информации, связанных с операциями по изменению параметров защиты вычислительных сетей | ||||
| СМЭ.21 | Регистрация изменений параметров настроек средств и систем защиты информации, обеспечивающих реализацию сегментации, межсетевого экранирования и защиты вычислительных сетей финансовой организации | Т | Т | Т |
| 6 Выявление вторжений и сетевых атак (ВСА) | ||||
| 6.1 Мониторинг и контроль содержимого сетевого графика | ||||
| ВСА.1 | Контроль отсутствия (выявление) аномальной сетевой активности, связанной с возможным несанкционированным информационным взаимодействием между сегментами контуров безопасности и иными внутренними вычислительными сетями финансовой организации | Н | Н | Т |
| ВСА.2 | Контроль отсутствия (выявление) аномальной сетевой активности, связанной с возможным несанкционированным информационным взаимодействием между вычислительными сетями финансовой организации и сетью Интернет | Н | Т | Т |
| ВСА.3 | Контроль отсутствия (выявление) аномальной сетевой активности, связанной с возможным несанкционированным информационным взаимодействием между сегментами, предназначенными для размещения общедоступных объектов доступа (в том числе банкоматов, платежных терминалов), и сетью Интернет | Н | Н | Т |
| ВСА.4 | Контроль отсутствия (выявление) аномальной сетевой активности, связанной с возможным несанкционированным логическим доступом к ресурсам доступа, размещенным в вычислительных сетях финансовой организации, подключенных к сети Интернет | Н | Т | Т |
| ВСА.5 | Контроль отсутствия (выявление) аномальной сетевой активности, связанной с возможным несанкционированным удаленным доступом | Н | Т | Т |
| ВСА.6 | Контроль отсутствия (выявление) аномальной сетевой активности, связанной с возможным несанкционированным логическим доступом к ресурсам доступа, размещенным во внутренних вычислительных сетях финансовой организации | Н | Н | Т |
| ВСА.7 | Контроль отсутствия (выявление) аномальной сетевой активности, связанной с возможным несанкционированным доступом к аутентификационным данным легальных субъектов доступа | Н | Н | Т |
| ВСА.8 | Контроль отсутствия (выявление) аномальной сетевой активности, связанной с возможным осуществлением атак типа «отказ в обслуживании», предпринимаемых в отношении ресурсов доступа, размещенных в вычислительных сетях финансовой организации, подключенных к сети Интернет | Н | Т | Т |
| ВСА.9 | Блокирование атак типа «отказ в обслуживании» в масштабе времени, близком к реальному | Н | Т | Т |
| ВСА.10 | Контроль и обеспечение возможности блокировки нежелательных сообщений электронной почты (SPAM) | Т | Т | Т |
| ВСА.11 | Реализация контроля, предусмотренного мерами ВСА.1 – ВСА.9, путем сканирования и анализа сетевого трафика между группами сегментов вычислительных сетей финансовой организации, входящих в разные контуры безопасности | Н | Т | Т |
| ВСА.12 | Реализация контроля, предусмотренного мерами ВСА.1 – ВСА.9, путем сканирования и анализа сетевого трафика в пределах сегмента контура безопасности | Н | Н | Т |
| ВСА.13 | Реализация контроля, предусмотренного мерами ВСА.1 – ВСА.9, путем сканирования и анализа сетевого графика между вычислительными сетями финансовой организации и сетью Интернет | Н | Т | Т |
| 6.2 Регистрация событий защиты информации, связанных с результатами мониторинга и контроля содержимого сетевого трафика | ||||
| ВСА.14 | Регистрация фактов выявления аномальной сетевой активности в рамках контроля, предусмотренного мерами ВСА.1 – ВСА.8 | Н | Т | Т |
| 7 Защита информации, передаваемой по вычислительным сетям (ЗВС) | ||||
| ЗВС.1 | Применение сетевых протоколов, обеспечивающих защиту подлинности сетевого соединения, контроль целостности сетевого взаимодействия и реализацию технологии двухсторонней аутентификации при осуществлении логического доступа с использованием телекоммуникационных каналов и (или) линий связи, не контролируемых финансовой организацией | Т | Т | Т |
| ЗВС.2 | Реализация защиты информации от раскрытия и модификации, применение двухсторонней аутентификации при ее передаче с использованием сети Интернет, телекоммуникационных каналов и (или) линий связи, не контролируемых финансовой организацией | Т | Т | Т |
| 8 Зашита беспроводных сетей (ЗБС) | ||||
| 8.1Защита информации от раскрытия и модификации при использовании беспроводных сетей | ||||
| ЗБС.1 | Аутентификация устройств доступа техническими средствами, реализующими функции беспроводного сетевого соединения (точками доступа по протоколу Wi-Fi) | Т | Т | Т |
| ЗБС.2 | Защита информации от раскрытия и модификации при ее передаче с использованием протоколов беспроводного доступа | Т | Т | Т |
| 8.2 Защита внутренних вычислительных сетей при использовании беспроводных сетей | ||||
| ЗБС.3 | Размещение технических средств, реализующих функции беспроводного соединения, в выделенных сегментах вычислительных сетей финансовой организации | Н | Т | Т |
| ЗБС.4 | Реализация сетевого взаимодействия и сетевой изоляции на уровне не выше второго (канальный) по семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1, внутренних вычислительных сетей финансовой организации и сегментов вычисленных сетей, выделенных в соответствии с мерой ЗБС.З | Н | Н | Т |
| ЗБС.5 | Реализация сетевого взаимодействия и сетевой изоляции на уровне не выше третьего (сетевой) по семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1, внутренних вычислительных сетей финансовой организации и сегментов вычисленных сетей. выделенных в соответствии с мерой ЗБС.З | Н | Т | Н |
| ЗБС.6 | Межсетевое экранирование внутренних вычислительных сетей финансовой организации и сегментов вычисленных сетей, выделенных в соответствии с мерой ЗБС.З, включая фильтрацию данных на сетевом и прикладном уровнях семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1 | Н | Т | Т |
| ЗБС.7 | Реализация и контроль информационного взаимодействия внутренних вычислительных сетей финансовой организации и сегментов вычислительных сетей, выделенных е соответствии с мерой ЗБС.З, в соответствии с установленными правилами и протоколами сетевого взаимодействия | Н | Т | Т |
| ЗБС.8 | Блокирование попыток подключения к беспроводным точкам доступа с незарегистрированных устройств доступа, в том числе из-за пределов зданий и сооружений финансовой организации | Н | Н | Т |
| 8.3 Регистрация событий защиты информации, связанных с использованием беспроводных сетей | ||||
| ЗБС.9 | Регистрация попыток подключения к беспроводным точкам доступа с незарегистрированных устройств доступа, в том числе из-за пределов финансовой организации | Н | Н | Т |
| ЗБС.10 | Регистрация изменений параметров настроек средств и систем защиты информации, обеспечивающих реализацию сегментации, межсетевого экранирования и защиты внутренних вычислительных сетей финансовой организации и сегментов вычисленных сетей, выделенных в соответствии с мерой ЗБС.З | Н | Т | Т |