Базовый состав мер. Базовый состав мер защиты информации
 Скачать 92.99 Kb.
|
|
13 Обнаружение инцидентов защиты информации и реагирование на них (РИ) | ||||
| 13.1 Обнаружение и регистрация инцидентов защиты информации | ||||
| РИ.1 | Регистрация информации о событиях защиты информации, потенциально связанных с инцидентами защиты информации, в том числе НСД, выявленными в рамках мониторинга и анализа событий защиты информации | О | Т | Т |
| РИ.2 | Регистрация информации, потенциально связанной с инцидентами защиты информации, в том числе НСД, полученной от работников, клиентов и (или) контрагентов финансовой организации | О | Т | Т |
| РИ.3 | Классификация инцидентов защиты информации с учетом степени их влияния (критичности) на предоставление финансовых услуг, реализацию бизнес-процессов и (или) технологических процессов финансовой организации | О | О | Т |
| РИ.4 | Установление и применение единых правил получения от работников, клиентов и (или) контрагентов финансовой организации информации, потенциально связанной с инцидентами защиты информации | О | О | О |
| РИ.5 | Установление и применение единых правил регистрации и классификации инцидентов защиты информации в части состава и содержания атрибутов, описывающих инцидент защиты информации, и их возможных значений | О | Т | Т |
| 13.2 Организация реагирования на инциденты защиты информации | ||||
| РИ.6 | Установление и применение единых правил реагирования на инциденты защиты информации | О | О | О |
| РИ.7 | Определение и назначение ролей, связанных с реагированием на инциденты защиты информации | О | Н | Н |
| РИ.8 | Определение и назначение ролей, связанных с реагированием на инциденты защиты информации – ролей группы реагирования на инциденты защиты информации (ГРИЗИ) | Н | О | О |
| РИ.9 | Выделение в составе ГРИЗИ следующих основных ролей: • руководитель ГРИЗИ, в основные функциональные обязанности которого входит обеспечение оперативного руководства реагированием на инциденты защиты информации; • оператор-диспетчер ГРИЗИ, в основные функциональные обязанности которого входит обеспечение сбора и регистрации информации об инцидентах защиты информации; • аналитик ГРИЗИ, в основные функциональные обязанности которого входит выполнение непосредственных действий по реагированию на инцидент защиты информации; • секретарь ГРИЗИ, в основные функциональные обязанности которого входит документирование результатов реагирования на инциденты защиты информации, формирование аналитических отчетов материалов | Н | О | О |
| РИ.10 | Своевременное (оперативное) оповещение членов ГРИЗИ о выявленных инцидентах защиты информации | Н | Т | Т |
| РИ.11 | Предоставление членам ГРИЗИ прав логического и физического доступа и административных полномочий, необходимых для проведения реагирования на инциденты защиты информации | Н | О | О |
| РИ.12 | Проведение реагирования на каждый обнаруженный инцидент защиты информации, включающего: • анализ инцидента; • определение источников и причин возникновения инцидента; • оценку последствий инцидента на предоставление финансовых услуг, реализацию бизнес-процессов или технологических процессов финансовой организации; • принятие мер по устранению последствий инцидента; • планирование и принятие мер по предотвращению повторного возникновения инцидента | О | О | О |
| РИ.13 | Установление и применение единых правил сбора, фиксации и распространения информации об инцидентах защиты информации | О | О | О |
| РИ.14 | Установление и применение единых правил закрытия инцидентов защиты информации | О | О | О |
| 13.3 Организация хранения и защита информации об инцидентах защиты информации | ||||
| РИ.15 | Реализация защиты информации об инцидентах защиты информации от НСД, обеспечение целостности и доступности указанной информации | Т | Т | Т |
| РИ.16 | Разграничение доступа членов ГРИЗИ к информации об инцидентах защиты информации в соответствии с определенным распределением ролей, связанных с реагированием на инциденты защиты информации | Н | Т | Т |
| РИ.17 | Обеспечение возможности доступа к информации об инцидентах защиты информации в течение трех лет | Т | Т | Н |
| РИ.18 | Обеспечение возможности доступа к информации об инцидентах защиты информации в течение пяти лет | Н | Н | Т |
| 13.4 Регистрация событий защиты информации, связанных с результатами обнаружения инцидентов защиты информации и реагирования на них | ||||
| РИ.19 | Регистрация доступа к информации об инцидентах защиты информации | Т | Т | Т |
| 14 Защита среды виртуализации (ЗСВ) | ||||
| 14.1 Организация идентификации, аутентификации, авторизации (разграничения доступа) при осуществлении логического доступа к виртуальным машинам и серверным компонентам виртуализации | ||||
| ЗСВ.1 | Разграничение и контроль осуществления одновременного доступа к виртуальным машинам с АРМ пользователей и эксплуатационного персонала только в пределах одного контура безопасности | Н | Т | Н |
| ЗСВ.2 | Разграничение и контроль осуществления одновременного доступа к виртуальным машинам с АРМ пользователей и эксплуатационного персонала только в пределах одного контура безопасности на уровне не выше третьего (сетевой) по семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1 | Н | Н | Т |
| ЗСВ.3 | Разграничение и контроль осуществления одновременного доступа виртуальных машин к системе хранения данных в пределах контура безопасности | Н | Т | Н |
| ЗСВ.4 | Разграничение и контроль осуществления одновременного доступа виртуальных машин к системе хранения данных в пределах контура безопасности на уровне не выше третьего (сетевой) по семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1 | Н | Н | Т |
| ЗСВ.5 | Идентификация и аутентификация пользователей серверными компонентами виртуализации и (или) средствами централизованных сервисов аутентификации при предоставлении доступа к виртуальным машинам | Т | Т | Т |
| ЗСВ.6 | Реализация необходимых методов предоставления доступа к виртуальным машинам, обеспечивающих возможность доступа с использованием одних аутентификационных данных только к одной виртуальной машине | Н | Т | Н |
| ЗСВ.7 | Реализация необходимых методов предоставления доступа к виртуальным машинам, обеспечивающих возможность доступа с использованием одних аутентификационных данных только к одной виртуальной машине с одного АРМ пользователя или эксплуатационного персонала | Н | Н | Т |
| ЗСВ.8 | Обеспечение возможности принудительной блокировки (выключения) установленной сессии работы пользователя с виртуальной машиной | Т | Т | Т |
| ЗСВ.9 | Контроль и протоколирование доступа эксплуатационного персонала к серверным компонентам виртуализации и системе хранения данных с реализацией двухфакторной аутентификации | Н | Т | Т |
| ЗСВ.10 | Размещение средств защиты информации, используемых для организации контроля и протоколирования доступа эксплуатационного персонала к серверным компонентам виртуализации и системе хранения данных на физических СВТ | Н | Т | Т |
| ЗСВ.11 | Реализация правил управления правами логического доступа, обеспечивающая запрет одновременного совмещения одним субъектом логического доступа следующих функций: • создание виртуальных машин, управление образами виртуальных машин на этапах их жизненного цикла; • предоставление доступа к виртуальным машинам, включая настройку виртуальных сегментов вычислительных сетей и применяемых средств защиты информации на уровне серверных компонентов виртуализации; • управление системы хранения данных; • управление настройками гипервизоров; • конфигурирование виртуальных сетей в рамках своего контура безопасности | Н | Н | Т |
| ЗСВ.12 | Размещение серверных и пользовательских компонентов АС на разных виртуальных машинах | Н | О | О |
| 14.2 Организация и контроль информационного взаимодействия и изоляции виртуальных машин (применяются в совокупности с мерами СМЭ.1 – СМЭ.13) | ||||
| ЗСВ.13 | Выделение в вычислительных сетях финансовой организации отдельных сегментов (групп сегментов), в том числе виртуальных, используемых для размещения совокупности виртуальных машин, предназначенных для размещения серверных компонент АС, включенных в разные контуры безопасности | Н | Т | Т |
| ЗСВ.14 | Выделение в вычислительных сетях финансовой организации отдельных сегментов (трупп сегментов), в том числе виртуальных, используемых для размещения совокупности виртуальных машин, предназначенных для размещения АРМ пользователей и эксплуатационного персонала, включенных в разные контуры безопасности | Н | Т | Т |
| ЗСВ.15 | Организация информационного обмена между сегментами (группами сегментов) вычислительных сетей, определенных мерами 3CB.13 и ЗСВ.14, физическим оборудованием (программно-аппаратным комплексом) и (или) программными средствами межсетевого экранирования. функционирующими на уровне гипервизора среды виртуализации | Н | Н | Т |
| ЗСВ.16 | Межсетевое экранирование сегментов (групп сегментов) вычислительных сетей, определенных мерами 3CB.13 и ЗСВ.14, включая фильтрацию данных на сетевом и прикладном уровнях семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1 | Н | Т | Т |
| ЗСВ.17 | Реализация и контроль информационного взаимодействия между сегментами (группами сегментов) вычислительных сетей мерами, указанными в мерах ЗСВ.13 и ЗСВ.14, в соответствии с установленными правилами и протоколами сетевого взаимодействия | Н | Т | Т |
| ЗСВ.18 | Реализация мер защиты информации ЗСВ.15 – ЗСВ.17 физическим оборудованием (программно-аппаратным комплексом) и (или) программными средствами межсетевого экранирования, функционирующих на уровне гипервизора среды виртуализации | Н | Н | Т |
| ЗСВ.19 | Организация и контроль информационного взаимодействия между виртуальными машинами разных АС в соответствии с установленными правилами и протоколами сетевого взаимодействия | Н | Н | Т |
| ЗСВ.20 | Исключение возможности информационного взаимодействия и переноса информации между сегментами вычислительных сетей, входящими в разные контуры безопасности, с использованием АРМ пользователей и эксплуатационного персонала, эксплуатируемых для осуществления доступа к виртуальным машинам разных контуров безопасности | Н | Т | Т |
| ЗСВ.21 | Выделение отдельных логических разделов системы хранения данных для каждого из контуров безопасности | Н | Т | Т |
| ЗСВ.22 | Выделение отдельных сегментов управления, в которых располагаются АРМ эксплуатационного персонала, используемые для выполнения задач администрирования серверных компонент виртуализации и системы хранения данных (допускается использование единых сегментов управления, выделяемых в рамках выполнения меры ЗСВ.22 и меры СМЭ.9) | Н | Н | Т |
| 14.3 Организация защиты образов виртуальных машин | ||||
| ЗСВ.23 | Регламентация и контроль выполнения: • операций в рамках жизненного цикла базовых образов виртуальных машин; • операций по копированию образов виртуальных машин | Н | О | О |
| ЗСВ.24 | Включение только в базовые образы виртуальных машин следующего ПО: • ПО технических мер защиты информации, применяемых в пределах виртуальных машин; • ПО АС | Н | О | О |
| ЗСВ.25 | Отнесение каждой из виртуальных машин только к одному из контуров безопасности | Н | О | О |
| ЗСВ.26 | Контроль целостности, выполняемый при запуске (загрузке) виртуальной машины: • базового образа виртуальной машины; • ПО, включенного в пользовательский профиль виртуальной машины; • параметров настроек ПО технических мер защиты информации, применяемых в пределах виртуальных машин | Н | Н | Т |
| ЗСВ.27 | Запрет на копирование текущих образов виртуальных машин, использующих СКЗИ. с загруженными криптографическими ключами | О | О | О |
| ЗСВ.28 | Запрет на копирование текущих образов виртуальных машин, используемых для реализации технологии виртуализации АРМ пользователей | О | О | О |
| ЗСВ.29 | Запрет сохранения изменений, произведенных пользователями в процессе работы их виртуальных машин, в базовом образе виртуальных машин | Н | Н | Т |
| ЗСВ.30 | Контроль завершения сеанса работы пользователей с виртуальными машинами | Н | Т | Н |
| ЗСВ.31 | Контроль завершения сеанса работы пользователей с виртуальными машинами и обеспечение последующей работы виртуальной машины с использованием базового образа | Н | Н | Т |
| 14.4 Регистрация событий защиты информации, связанных с доступом к виртуальным машинам и серверным компонентам виртуализации | ||||
| ЗСВ.32 | Регистрация операций, связанных с запуском (остановкой) виртуальных машин | Т | Т | Т |
| ЗСВ.33 | Регистрация операций, связанных с изменением параметров настроек виртуальных сетевых сегментов, реализованных средствами гипервизора | Н | Т | Т |
| ЗСВ.34 | Регистрация операций, связанных с созданием и удалением виртуальных машин | Т | Т | Т |
| ЗСВ.35 | Регистрация операций, связанных с созданием, изменением, копированием, удалением базовых образов виртуальных машин | Т | Т | Т |
| ЗСВ.36 | Регистрация операций, связанных с копированием текущих образов виртуальных машин | Т | Т | Т |
| ЗСВ.37 | Регистрация операций, связанных с изменением прав логического доступа к серверным компонентам виртуализации | Т | Т | Т |
| ЗСВ.38 | Регистрация операций, связанных с изменением параметров настроек серверных компонентов виртуализации | Т | Т | Т |
| ЗСВ.39 | Регистрация операций, связанных с аутентификацией и авторизацией эксплуатационного персонала при осуществлении доступа к серверным компонентам виртуализации | Т | Т | Т |
| ЗСВ.40 | Регистрация операций, связанных с аутентификацией и авторизацией пользователей при осуществлении доступа к виртуальным машинам | Т | Т | Т |
| ЗСВ.41 | Регистрация операций, связанных с запуском (остановкой) ПО серверных компонент виртуализации | Н | Н | Т |
| ЗСВ.42 | Регистрация операций, связанных с изменением параметров настроек технических мер защиты информации, используемых для реализации контроля доступа к серверным компонентам виртуализации | Т | Т | Т |
| ЗСВ.43 | Регистрация операций, связанных с изменением настроек технических мер защиты информации, используемых для обеспечения защиты виртуальных машин | Т | Т | Т |