|
Для веб– ресурсов, к которым есть доступ со стороны сети Интернет
|
|
Использование шифрования при передаче данных по открытым каналам связи
|
Рекомендуемый параметр – наличие действующего SSL– сертификата, полученного от доверенного (публичного) центра сертификации, шифрующего весь трафик (пользовательский и администраторский)
|
|
Длина открытого ключа SSL– сертификата
|
Рекомендуемый параметр – не менее 2048 бит, при технической возможности генерации ключа с большей длинной – 4096 бит
|
|
Длина ключа потокового шифрования
|
Рекомендуемый параметр – не менее 128 бит
|
|
Использование криптографических шифров и алгоритмов обмена ключами
(не допускается применение алгоритмов блочного шифрования RC4 и DES)
|
Рекомендуемый параметр – класс А, полученный по результатам исследования веб– ресурса (например, через SSL Server Test (https://www.ssllabs.com/ssltest/ https://www.htbridge.com/ssl/)) и отсутствие несоответствия со стандартом PCI DSS (раздел "Test your servers for security and compliance with PCI DSS")
|
|
Использование криптостойких алгоритмов соединения ("рукопожатия")
|
Рекомендуемый параметр – использование варианта протокола Диффи–Хеллмана ECDHE
|
|
Версии криптоалгоритмов
|
Рекомендуемый параметр – TLS версий 1.1., 1.2., 1.3.
Примечание – допускается применение TLS версий 1.0. на веб– ресурсах, используемых большим количеством жителей Российской Федерации ввиду невозможности работы более новых версий на старых устройствах. На веб– ресурсах, незадействованных для общественного использования, TLS версии 1.0. применять не рекомендуется.
|
|
Управление уязвимостями
|
Проверяются все веб– ресурсы ПУ вне зависимости от его принадлежности к статусу государственного информационного ресурса Рекомендуемый параметр – уязвимости отсутствуют.
|
|
Применяемые хэш–функции
|
Не допускается использовать хэш– функции SHA– 1, MD2, MD5.
Рекомендуемый параметр – SHA– 2, SHA– 3, bcrypt/scrypt
|
|
Применение дополнительных мер защиты хеша пароля
|
Рекомендуемый параметр – генерация хеша пароля осуществляется с помощью криптостойкой хэш– функции с добавлением "соли". Местоположение "соли" при генерации окончательного хеша пароля – после пароля.
|
|
Использование загружаемого контента на веб– ресурсе (JavaScript сценариев, CSS файлов, файлов шрифтов и др.)
|
Рекомендуемый параметр –
– контент хранится на сервере, обслуживающем сайт;
– контент хранится на доверенных ресурсах (например, ссылки на ресурсы yandex.ru).
|
|
Реализация механизма сокрытия символов вводимого пароля
|
Рекомендуемый параметр –используется (например, символ *)
|
|
Использование счетчиков посещаемости
|
Рекомендуемый параметр – используемые счетчики, предоставляются юридическими лицами, зарегистрированными на территории Российской Федерации
|
|
Управление обновлениями программного обеспечения
|
Рекомендуемый параметр – все программное обеспечение обновлено до последней актуальной версии и поддерживается производителем
|
|
Защита от атак перебора пароля
|
Рекомендуемый параметр – доступ ограничивается после заданного количества неудачных попыток (не более 5 попыток)
|
|
Доступ к административным консолям, необходимость в котором в сети Интернет отсутствует (например, phpmyadmin или административный порт https://myhost.ru:8443, доступ к которому ограничен межсетевым экраном)
|
Рекомендуемый параметр – возможность доступа отсутствует
|
|
Защита от SQL– атак, XSS, CSRF
|
Рекомендуемый параметр – реализована (либо на 100% реализована фильтрация вводимых данных, либо установлен, настроен и включен в режим активной защиты межсетевой экран для веб– приложений)
|
|
Удаленное администрирование веб– ресурса
|
Рекомендуемый параметр – управление осуществляется через сертифицированную ФСБ России сеть VPN
|
|
Реализация механизма запрета одновременного запуска более одного сеанса из– под одной учетной записи
|
Рекомендуемый параметр – механизм реализован, используется
|
|
Для информационных систем, разработанных сторонними разработчиками (за исключением "коробочных" решений)
|
|
Защита каналов связи при подключении ИС в сети Интернет
|
Рекомендуемый параметр – подключение к ИС осуществляется по защищенному каналу связи без применения технологии "человек– по– середине" (например, OpenVPN)
|
|
Реализация механизма задания максимального срока действия пароля
|
Рекомендуемый параметр – механизм реализован, используется – не более 90 дней
|
|
Реализация механизма задания минимального срока действия пароля
|
Рекомендуемый параметр – механизм реализован, используется – не менее 60 дней
|
|
Реализация механизма задания минимального срока действия пароля
|
Рекомендуемый параметр – механизм реализован, используется – 18 дней
|
|
Реализация механизма задания минимальной длины пароля
|
Рекомендуемый параметр – механизм реализован, используется – не менее 8 символов
|
|
Реализация механизма задания сложности пароля
|
Рекомендуемый параметр – механизм реализован, используется – нижний/верхний регистр, цифровые значения, спецсимволы.
|
|
Реализация механизма ограничения ввода ранее введенного пароля при его смене
|
Рекомендуемый параметр – механизм реализован, используется – запоминается не меньше 5 последних паролей
|
|
Реализация механизма задания времени до сброса счетчика блокировки
|
Рекомендуемый параметр – механизм реализован, используется – не менее 30 минут
|
|
Реализация механизма задания порогового значения блокировки
|
Рекомендуемый параметр – механизм реализован, используется – не более 6 ошибок входа в систему
|
|
Реализация механизма задания продолжительности блокировки учетной записи
|
Рекомендуемый параметр – механизм реализован, используется – 30 минут
|
|
Реализация механизма сокрытия вводимого пароля
|
Рекомендуемый параметр – механизм реализован, используется – например символ *
|
|
Реализация механизма блокировки сеанса пользователя при заданном времени бездействия
|
Рекомендуемый параметр – механизм реализован, используется – не более 15 минут
|
|
Реализация механизма запрета одновременного запуска более одного сеанса из– под одной учетной записи
|
Рекомендуемый параметр – механизм реализован, используется
|
|
Для серверов информационных систем и ЛВС (контроллеры домена, сервера баз данных, файловые сервера, критической инфраструктуры)
|
|
(Для операционных систем Windows)
Использование встроенных учетных записей (администратор, гость)
|
Рекомендуемый параметр – отсутствуют
|
|
(Для операционных систем Linux)
Возможность входа под учетной записью root через SSH
|
Рекомендуемый параметр – возможность отсутствует
|
|
Использование только персональных учетных записей каждым сотрудником
|
Рекомендуемый параметр – все сотрудники используют только свои персональные учетные записи
|
|
Использование доверенного DNS– сервера, в том числе для пользовательского трафика
|
Возможные рекомендуемые параметры
– используется доверенный вышестоящий DNS Управления ФСБ России по Хабаровскому краю
– используется доверенный DNS сервер юридического лица, являющегося резидентом Российской Федерации, оказывающего услугу облачного интернет– сервиса по контент– фильтрации
– используется собственный DNS сервер, связанный с доверенным вышестоящим DNS сервером
|
|
Ограничение пользовательских привилегий
|
Рекомендуемый параметр – пользователи имеют привилегии, необходимые только для выполнения своих должностных обязанностей (обычные работники – привилегия "пользователь", администраторы – привилегия "локальный администратор", "администратор домена" и т.п.)
|
|
Для "коробочных" (готовых) решений (например, системы хранения данных, почтовые серверы в виде виртуальной машины с преднастроенной производителем (разработчиком) операционной системой и т.п.)
|
|
Использование встроенных механизмов безопасности (требования к паролям, смена пароля по умолчанию, антивирусная защита (при наличии), блокировка попыток доступа и т.п.)
|
Рекомендуемый параметр – встроенные механизмы безопасности должны использоваться в полном объеме.
|
Скачать 149.79 Kb.