Методический документ. Меры защиты информации в государствен. Методический документ. Меры защиты информации в государственных информационных системах
 Скачать 1.36 Mb.
|
|
ЗИС.2 ПРЕДОТВРАЩЕНИЕ ЗАДЕРЖКИ ИЛИ ПРЕРЫВАНИЯ ВЫПОЛНЕНИЯ ПРОЦЕССОВ С ВЫСОКИМ ПРИОРИТЕТОМ СО СТОРОНЫ ПРОЦЕССОВ С НИЗКИМ ПРИОРИТЕТОМ Требования к реализации ЗИС.2: В информационной системе должно обеспечиваться предотвращение задержки или прерывания выполнения процессов с высоким приоритетом со стороны процессов (служб, сервисов) с низким приоритетом, предусматривающее: определение приоритетов процессов (служб, сервисов) для пользователей и (или) групп пользователей и (или) ролей в информационной системе; выполнение процессов (служб, сервисов) в информационной системе с учетом их приоритета (в первую очередь должны выполняться процессы с более высоким приоритетом); исключение задержки и (или) вмешательства в выполнение процессов (служб, сервисов) с более высоким приоритетом со стороны процессов (служб, сервисов) с более низким приоритетом. Требования к усилению ЗИС.2: 1) в информационной системе должно обеспечиваться исключение возможности несанкционированного изменения приоритетов выполнения процессов. Содержание базовой меры ЗИС.2:
ЗИС.3 ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ИНФОРМАЦИИ ОТ РАСКРЫТИЯ, МОДИФИКАЦИИ И НАВЯЗЫВАНИЯ (ВВОДА ЛОЖНОЙ ИНФОРМАЦИИ) ПРИ ЕЕ ПЕРЕДАЧЕ (ПОДГОТОВКЕ К ПЕРЕДАЧЕ) ПО КАНАЛАМ СВЯЗИ, ИМЕЮЩИМ ВЫХОД ЗА ПРЕДЕЛЫ КОНТРОЛИРУЕМОЙ ЗОНЫ Требования к реализации ЗИС.3: Оператором должна быть обеспечена защита информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны. Защита информации обеспечивается путем защиты каналов связи от несанкционированного физического доступа (подключения) к ним и (или) применения в соответствии с законодательством Российской Федерации средств криптографической защиты информации или иными методами. Требования к усилению ЗИС.3: 1) оператор обеспечивает защиту от модификации и навязывания (ввода ложной информации) видеоинформации (звуковой информации) путем ее маркирования и контроля (в том числе с использованием цифровых водяных знаков) в различных точках тракта ее формирования и распространения; 2) оператор обеспечивает защиту от модификации и навязывания (ввода ложной информации) передаваемой видеоинформации путем выявления и удаления скрытых вставок. Содержание базовой меры ЗИС.3:
ЗИС.4 ОБЕСПЕЧЕНИЕ ДОВЕРЕННЫХ КАНАЛА, МАРШРУТА МЕЖДУ АДМИНИСТРАТОРОМ, ПОЛЬЗОВАТЕЛЕМ И СРЕДСТВАМИ ЗАЩИТЫ ИНФОРМАЦИИ (ФУНКЦИЯМИ БЕЗОПАСНОСТИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ) Требования к реализации ЗИС.4: В информационной системе должны обеспечиваться доверенные маршруты передачи данных между администратором (пользователем) и средствами защиты информации (функциями безопасности средств защиты информации), определяемыми оператором. Оператором должен быть определен перечень целей (функций) передачи данных, для которых требуется доверенный канал (маршрут). Доверенный канал между пользователем и средствами защиты информации должен обеспечиваться при удаленном и локальном доступе в информационную систему. Требования к усилению ЗИС.4: Не установлены. Содержание базовой меры ЗИС.4:
ЗИС.5 ЗАПРЕТ НЕСАНКЦИОНИРОВАННОЙ УДАЛЕННОЙ АКТИВАЦИИ ВИДЕОКАМЕР, МИКРОФОНОВ И ИНЫХ ПЕРИФЕРИЙНЫХ УСТРОЙСТВ, КОТОРЫЕ МОГУТ АКТИВИРОВАТЬСЯ УДАЛЕННО, И ОПОВЕЩЕНИЕ ПОЛЬЗОВАТЕЛЕЙ ОБ АКТИВАЦИИ ТАКИХ УСТРОЙСТВ Требования к реализации ЗИС.5: В информационной системе должны осуществляться запрет несанкционированной удаленной активации видеокамер, микрофонов и иных периферийных устройств, которые могут активироваться удаленно, и оповещение пользователей об активации таких устройств, в том числе путем сигнализации, индикации. Запрет несанкционированной удаленной активации должен осуществляться в отношении всех периферийных устройств ввода (вывода) информации, которые имеют возможность управления (запуска, включения, выключения) через компоненты программного обеспечения, установленные на рабочем месте пользователя, коммуникационных сервисов сторонних лиц (провайдеров) (ICQ, Skype и иные сервисы). Запрет несанкционированной удаленной активации должен осуществляться через физическое исключение такой возможности и (или) путем управления программным обеспечением. В исключительных случаях для решения установленных оператором отдельных задач, решаемых информационной системой, допускается возможность удаленной активации периферийных устройств. При этом должно быть обеспечено определение и фиксирование в организационно-распорядительных документах по защите информации (документирование) перечня периферийных устройств, для которых допускается возможность удаленной активации и обеспечен контроль за активацией таких устройств. Требования к усилению ЗИС.5: 1) в информационной системе должна обеспечиваться возможность физического отключения периферийных устройств (например, отключение при организации и проведении совещаний в помещениях, где размещены видеокамеры и микрофоны); 2) в информационной системе должна обеспечиваться возможность блокирования входящего и исходящего трафика от пользователей систем, предоставляющих внешние сервисы (например, системы видеоконференцсвязи), в которых конфигурации (настройки) сервисов для конечных пользователей устанавливаются провайдерами или самими пользователями; 3) оператором обеспечивается удаление (отключение) из информационной системы (отдельных сегментов, например, расположенных в защищаемых и выделенных помещениях) периферийных устройств, перечень которых определяется оператором; 4) оператором обеспечивается запись и хранение в течение установленного времени информации, переданной (полученной) периферийными устройствами ввода (вывода) информации при разрешенной удаленной активации периферийных устройств ввода (вывода) информации. Содержание базовой меры ЗИС.5:
ЗИС.6 ПЕРЕДАЧА И КОНТРОЛЬ ЦЕЛОСТНОСТИ АТРИБУТОВ БЕЗОПАСНОСТИ (МЕТОК БЕЗОПАСНОСТИ), СВЯЗАННЫХ С ИНФОРМАЦИЕЙ, ПРИ ОБМЕНЕ ИНФОРМАЦИЕЙ С ИНЫМИ ИНФОРМАЦИОННЫМИ СИСТЕМАМИ Требования к реализации ЗИС.6: В информационной системе должна осуществляться передача, сопоставление (сравнение) атрибутов безопасности (меток безопасности) с информацией, которой она обменивается с иными (внешними) информационными системами. Атрибуты безопасности могут сопоставляться с информацией, содержащейся в информационной системе, в явном или скрытом виде. Меры по передаче и контролю целостности (сопоставлению, сравнению) атрибутов безопасности (меток безопасности) реализуются в соответствии с УПД.12. Требования к усилению ЗИС.6: 1) в информационной системе должен обеспечиваться контроль целостности атрибутов безопасности (меток безопасности). Содержание базовой меры ЗИС.6:
ЗИС.7 КОНТРОЛЬ САНКЦИОНИРОВАННОГО И ИСКЛЮЧЕНИЕ НЕСАНКЦИОНИРОВАННОГО ИСПОЛЬЗОВАНИЯ ТЕХНОЛОГИЙ МОБИЛЬНОГО КОДА, В ТОМ ЧИСЛЕ РЕГИСТРАЦИЯ СОБЫТИЙ, СВЯЗАННЫХ С ИСПОЛЬЗОВАНИЕМ ТЕХНОЛОГИИ МОБИЛЬНОГО КОДА, ИХ АНАЛИЗ И РЕАГИРОВАНИЕ НА НАРУШЕНИЯ, СВЯЗАННЫЕ С ИСПОЛЬЗОВАНИЕМ ТЕХНОЛОГИИ МОБИЛЬНОГО КОДА Требования к реализации ЗИС.7: Оператором должны осуществляться контроль санкционированного и исключение несанкционированного использования технологий мобильного кода (активного контента) в информационной системе, в том числе регистрация событий, связанных с использованием технологии мобильного кода, их анализ и реагирование на нарушения, связанные с использованием технологии мобильного кода. Технология мобильного кода включает, в том числе использование Java, JavaScript, ActiveX, PDF, Postscript, Flash-анимация и VBScript и иных технологий. При контроле использования технологий мобильного кода должно быть обеспечено: определение перечня мобильного кода и технологий мобильного кода разрешенных и (или) запрещенных для использования в информационной системе; определение разрешенных мест распространения (серверы информационной системы) и использования мобильного кода (автоматизированные рабочие места, мобильные технические средства информационной системы) и функций информационной системы, для которых необходимо применение технологии мобильного кода; регистрация и анализ событий, связанных с разработкой, приобретением или внедрением технологии мобильного кода; исключение возможности использования запрещенного мобильного кода в информационной системе, а также внедрение мобильного кода в местах, не разрешенных для его установки. Правила и процедуры контроля использования технологий мобильного кода регламентируются в организационно-распорядительных документах оператора по защите информации. Требования к усилению ЗИС.7: 1) в информационной системе должны быть реализованы механизмы обнаружения и анализа мобильного кода для выявления фактов несанкционированного использования мобильного кода и выполнения действий по реагированию (оповещение администраторов, изоляция мобильного кода (перемещение в карантин), блокирование мобильного кода, удаление мобильного кода) и иные действия, определяемые оператором; 2) в информационной системе должен осуществляться запрет загрузки и выполнения запрещенного мобильного кода; 3) в информационной системе для приложений, определяемых оператором, должен осуществляться запрет автоматического выполнения разрешенного мобильного кода (уведомление пользователя о получении мобильного кода и запрос разрешения на запуск или иные действия определяемые оператором); 4) в информационной системе должен осуществляться контроль подлинности источника мобильного кода и контроль целостности мобильного кода. Содержание базовой меры ЗИС.7:
ЗИС.8 КОНТРОЛЬ САНКЦИОНИРОВАННОГО И ИСКЛЮЧЕНИЕ НЕСАНКЦИОНИРОВАННОГО ИСПОЛЬЗОВАНИЯ ТЕХНОЛОГИЙ ПЕРЕДАЧИ РЕЧИ, В ТОМ ЧИСЛЕ РЕГИСТРАЦИЯ СОБЫТИЙ, СВЯЗАННЫХ С ИСПОЛЬЗОВАНИЕМ ТЕХНОЛОГИЙ ПЕРЕДАЧИ РЕЧИ, ИХ АНАЛИЗ И РЕАГИРОВАНИЕ НА НАРУШЕНИЯ, СВЯЗАННЫЕ С ИСПОЛЬЗОВАНИЕМ ТЕХНОЛОГИЙ ПЕРЕДАЧИ РЕЧИ Требования к реализации ЗИС.8: Оператором должны осуществляться контроль санкционированного и исключение несанкционированного использования технологий передачи речи в информационной системе, в том числе регистрация событий, связанных с использованием технологий передачи речи, их анализ и реагирование на нарушения, связанные с использованием технологий передачи речи. При контроле использования технологий передачи речи должно быть обеспечено: определение перечня технологий (сервисов) передачи речи разрешенных и (или) запрещенных для использования в информационной системе; определение субъектов доступа (категорий пользователей), которым разрешены разработка, приобретение или внедрение технологий передачи речи в соответствии с установленными ролями; реализация параметров настройки, исключающих возможность удаленной конфигурации устройств передачи речи; регистрация и анализ событий, связанных с разработкой, приобретением и внедрением технологий передачи речи; исключение возможности использования запрещенной технологии передачи речи в информационной системе, а также разработки, приобретения и внедрения технологий передачи речи субъектам доступа (пользователям), которым не разрешено ее использование. Технология передачи речи включает, в том числе, передачу речи через Интернет (в частности VoIP). Правила и процедуры контроля использования технологий передачи речи регламентируются в организационно-распорядительных документах оператора по защите информации. Требования к усилению ЗИС.8: Не установлены. Содержание базовой меры ЗИС.8:
ЗИС.9 КОНТРОЛЬ САНКЦИОНИРОВАННОЙ И ИСКЛЮЧЕНИЕ НЕСАНКЦИОНИРОВАННОЙ ПЕРЕДАЧИ ВИДЕОИНФОРМАЦИИ, В ТОМ ЧИСЛЕ РЕГИСТРАЦИЯ СОБЫТИЙ, СВЯЗАННЫХ С ПЕРЕДАЧЕЙ ВИДЕОИНФОРМАЦИИ, ИХ АНАЛИЗ И РЕАГИРОВАНИЕ НА НАРУШЕНИЯ, СВЯЗАННЫЕ С ПЕРЕДАЧЕЙ ВИДЕОИНФОРМАЦИИ Требования к реализации ЗИС.9: Оператором должны осуществляться контроль санкционированного и исключение несанкционированного использования технологий передачи видеоинформации в информационной системе, в том числе регистрация событий, связанных с использованием технологий передачи видеоинформации, их анализ и реагирование на нарушения, связанные с использованием технологий передачи видеоинформации. При контроле использования технологий передачи видеоинформации должно быть обеспечено: определение перечня технологий (сервисов) передачи видеоинформации, разрешенных и (или) запрещенных для использования в информационной системе; определение субъектов доступа (категорий пользователей), которым разрешены разработка, приобретение или внедрение технологий передачи видеоинформации в соответствии с установленными ролями; | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||