Методический документ. Меры защиты информации в государствен. Методический документ. Меры защиты информации в государственных информационных системах

Название	Методический документ. Меры защиты информации в государственных информационных системах
Дата	04.03.2023
Размер	1.36 Mb.
Формат файла
Имя файла	Методический документ. Меры защиты информации в государствен.rtf
Тип	Документы #968665
страница	21 из 24

1 ... 16 17 18 19 20 21 22 23 24

Сегментирование информационной системы проводится с целью построения многоуровневой (эшелонированной) системы защиты информации путем построения сегментов на различных физических доменах или средах. Принципы сегментирования информационной системы определяются оператором с учетом функциональных и технологических особенностей процесса обработки информации и анализа угроз безопасности информации и должны заключаться в снижении вероятности реализации угроз и (или) их локализации в рамках одного сегмента.

Сегментирование информационной системы также может проводиться с целью разделения информационной системы на сегменты, имеющие различные классы защищенности информационной системы.

При сегментировании информационной системы должна быть обеспечена защита периметров сегментов информационной системы в соответствии с УПД.3 и ЗИС.23.
Требования к усилению ЗИС.17:

1) оператором осуществляется выделение сегментов информационной системы для размещения общедоступной (публичной) информации:

а) путем выделения отдельных физических сетевых интерфейсов коммуникационного оборудования и (или) средств защиты периметра;

б) путем физической изоляции сегментов информационной системы для размещения общедоступной (публичной) информации.
Содержание базовой меры ЗИС.17:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1
ЗИС.17	+	+
Усиление ЗИС.17

ЗИС.18 ОБЕСПЕЧЕНИЕ ЗАГРУЗКИ И ИСПОЛНЕНИЯ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ С МАШИННЫХ НОСИТЕЛЕЙ ИНФОРМАЦИИ, ДОСТУПНЫХ ТОЛЬКО ДЛЯ ЧТЕНИЯ, И КОНТРОЛЬ ЦЕЛОСТНОСТИ ДАННОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
Требования к реализации ЗИС.18: В информационной системе должно обеспечиваться:

выделение в составе операционной системы и прикладного программного обеспечения частей, немодифицируемых в процессе загрузки и выполнения, и размещение их на машинных носителях информации, доступных только для чтения;

загрузка и выполнение на средствах вычислительной техники, определяемых оператором, операционной системы с машинных носителей информации, доступных только для чтения;

загрузка и выполнение на средствах вычислительной техники прикладного программного обеспечения, определяемого оператором, с машинных носителей информации, доступных только для чтения.

В качестве машинных носителей информации, доступных только для чтения, рассматриваются, в том числе, оптические носители CD-R/DVD-R или иные аппаратные машинные носители информации, возможность перезаписи на которые исключена технологически.
Требования к усилению ЗИС.18:

1) в сегментах (компонентах) информационной системы, определяемых оператором, применяются неперезаписываемые (защищенные от записи) машинные носители информации, устойчивые к сбоям в программном обеспечении информационной системы и отключению питания;

2) оператором должен осуществляться контроль целостности программного обеспечения, записанного на машинные носители информации, доступные только для чтения, в соответствии с ОЦЛ.1.
Содержание базовой меры ЗИС.18:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1
ЗИС.18
Усиление ЗИС.18

ЗИС.19 ИЗОЛЯЦИЯ ПРОЦЕССОВ (ВЫПОЛНЕНИЕ ПРОГРАММ) В ВЫДЕЛЕННОЙ ОБЛАСТИ ПАМЯТИ
Требования к реализации ЗИС.19: В информационной системе должна осуществляться изоляция процессов (выполнение программ) в выделенной области памяти.

Изоляция процессов (выполнение программ) в выделенной области памяти должна обеспечивать недоступность областей памяти, используемых процессами (программами) выполняемыми от имени одного пользователя (учетной записи), для процессов (программ), исполняемых от имени другого пользователя (учетной записи).

Изоляция процессов (выполнение программ) в выделенной области памяти реализуется в средствах вычислительной техники, определенных оператором, и как минимум должна включать изоляцию процессов, связанных с выполнением функций безопасности средств защиты информации.
Требования к усилению ЗИС.19:

Не установлены.
Содержание базовой меры ЗИС.19:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1
ЗИС.19
Усиление ЗИС.19

ЗИС.20 ЗАЩИТА БЕСПРОВОДНЫХ СОЕДИНЕНИЙ, ПРИМЕНЯЕМЫХ В ИНФОРМАЦИОННОЙ СИСТЕМЕ
Требования к реализации ЗИС.20: Оператором должна быть обеспечена защита беспроводных соединений, применяемых в информационной системе. Защита беспроводных соединений включает:

ограничение на использование в информационной системе беспроводных соединений (в частности 802.11xWi-Fi, 802.15.1 Bluetooth, 802.22WRAN, IrDA и иных беспроводных соединений) в соответствии с задачами (функциями) информационной системы, для решения которых такие соединения необходимы;

предоставление доступа к параметрам (изменению параметров) настройки беспроводных соединений только администраторам информационной системы;

обеспечение возможности реализации беспроводных соединений только через контролируемые интерфейсы (в том числе, путем применения средств защиты информации);

регистрация и анализ событий, связанных с использованием беспроводных соединений, в том числе для выявления попыток несанкционированного подключения к информационной системе через беспроводные соединения.

При обеспечении защиты беспроводных соединений в зависимости от их типов должны реализовываться меры по идентификации и аутентификации в соответствии с ИАФ.1, ИАФ.2 и ИАФ.6.

При невозможности исключения установления беспроводных соединений из-за пределов контролируемой зоны должны приниматься меры защищенного удаленного доступа в соответствии с УПД.13 и ЗИС.3.

Правила и процедуры применения беспроводных соединений регламентируются в организационно-распорядительных документах оператора по защите информации.
Требования к усилению ЗИС.20:

1) оператором для защиты беспроводных соединений в соответствии с законодательством Российской Федерации должны применяться средства криптографической защиты информации;

2) в информационной системе должны применяться программно-технические средства обнаружения, анализа и блокирования несанкционированного использования беспроводных технологий и подключений к информационной системе;

3) оператором должно обеспечиваться блокирование несанкционированных беспроводных подключений к информационной системе;

4) оператором должна быть исключена возможность установления беспроводных соединений из-за пределов контролируемой зоны.
Содержание базовой меры ЗИС.20:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1
ЗИС.20	+	+	+
Усиление ЗИС.20

ЗИС.21 ИСКЛЮЧЕНИЕ ДОСТУПА ПОЛЬЗОВАТЕЛЯ К ИНФОРМАЦИИ, ВОЗНИКШЕЙ В РЕЗУЛЬТАТЕ ДЕЙСТВИЙ ПРЕДЫДУЩЕГО ПОЛЬЗОВАТЕЛЯ ЧЕРЕЗ РЕЕСТРЫ, ОПЕРАТИВНУЮ ПАМЯТЬ, ВНЕШНИЕ ЗАПОМИНАЮЩИЕ УСТРОЙСТВА И ИНЫЕ ОБЩИЕ ДЛЯ ПОЛЬЗОВАТЕЛЕЙ РЕСУРСЫ ИНФОРМАЦИОННОЙ СИСТЕМЫ
Требования к реализации ЗИС.21: В информационной системе должен быть исключен доступ пользователя к информации, возникшей в результате действий предыдущего пользователя через реестры, оперативную память, внешние запоминающие устройства, ресурсы файловой системы и иные общие для пользователей ресурсы информационной системы.

Исключение доступа к информации через общие для пользователей ресурсы должно обеспечивать запрет доступа текущему пользователю (учетной записи) или текущему процессу к системным ресурсам (реестрам, оперативной памяти, внешним запоминающим устройствам) при их повторном использовании, в которых хранится информация другого (предыдущего) пользователя.
Требования к усилению ЗИС.21:

1) в информационной системе должна быть исключена возможность использования в качестве общих для пользователей ресурсов информационной системы, которые используются как интерфейс (память, однонаправленные интерфейсы (устройства) и сетевые карты) взаимодействия (связи) с системами, имеющими другие классы защищенности.
Содержание базовой меры ЗИС.21:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1
ЗИС.21				+
Усиление ЗИС.21

ЗИС.22 ЗАЩИТА ИНФОРМАЦИОННОЙ СИСТЕМЫ ОТ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ, НАПРАВЛЕННЫХ НА ОТКАЗ В ОБСЛУЖИВАНИИ ЭТОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ
Требования к реализации ЗИС.22: В информационной системе должна обеспечиваться защита от угроз безопасности информации, направленных на отказ в обслуживании этой системы.

Оператором должен быть определен перечень угроз (типов угроз) безопасности информации, направленных на отказ в обслуживании.

Защита от угроз безопасности информации, направленных на отказ в обслуживании, осуществляется посредством реализации в информационной системе мер защиты информационной системы в соответствии с ЗИС.23 и повышенными характеристиками производительности телекоммуникационного оборудования и каналов передачи совместно с резервированием информации и технических средств, программного обеспечения, каналов передачи информации в соответствии с ОДТ.2, ОДТ.4 и ОДТ.5.
Требования к усилению ЗИС.22:

1) в информационной системе обеспечивается ограничение возможностей пользователей по реализации угроз безопасности информации, направленных на отказ в обслуживании, в отношении отдельных сегментов информационной системы и других информационных систем;

2) в информационной системе обеспечивается управление характеристиками производительности телекоммуникационного оборудования и каналов передачи информации в зависимости от интенсивности реализации угроз безопасности информации, направленных на отказ в обслуживании;

3) оператором в установленном порядке обеспечивается использование услуг сторонних организаций (провайдеров) по "очистке" входящего трафика (для сброса потока пакетов, используемых нарушителем для реализации угроз безопасности, направленных на отказ в обслуживании этой информационной системы);

4) оператором обеспечивается применение средств защиты информации, предназначенных для нейтрализации угроз безопасности, направленных на отказ в обслуживании;

5) в информационной системе меры защиты от угроз безопасности информации, направленных на отказ в обслуживании, должны обеспечить возможность защиты от соответствующих атак на информационную систему без воздействия на трафик сети (подсети), в которой функционирует информационная система;

6) оператором обеспечивается возможность взаимодействия по вопросам защиты информации от угроз, направленных на отказ в обслуживании, со специальными системами уполномоченных органов с учетом требований по защите информации.
Содержание базовой меры ЗИС.22:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1
ЗИС.22	+	+
Усиление ЗИС.22

ЗИС.23 ЗАЩИТА ПЕРИМЕТРА (ФИЗИЧЕСКИХ И (ИЛИ) ЛОГИЧЕСКИХ ГРАНИЦ) ИНФОРМАЦИОННОЙ СИСТЕМЫ ПРИ ЕЕ ВЗАИМОДЕЙСТВИИ С ИНЫМИ ИНФОРМАЦИОННЫМИ СИСТЕМАМИ И ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫМИ СЕТЯМИ
Требования к реализации ЗИС.23: В информационной системе должна осуществляться защита периметра (физических и (или) логических границ) информационной системы при ее взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями, предусматривающая:

управление (контроль) входящими в информационную систему и исходящими из информационной системы информационными потоками на физической и (или) логической границе информационной системы (сегментов информационной системы);

обеспечение взаимодействия информационной системы и (или) ее сегментов с иными информационными системами и сетями только через сетевые интерфейсы, которые обеспечивают управление (контроль) информационными потоками с использованием средств защиты информации (управляемые (контролируемые) сетевые интерфейсы), установленных на физическом и (или) логическом периметре информационной системы или ее отдельных сегментов (маршрутизаторов, межсетевых экранов, коммутаторов, прокси-серверов, шлюзов безопасности, средств построения виртуальных частных сетей и иных средств защиты информации).

Правила и процедуры защиты периметра информационной системы регламентируются в организационно-распорядительных документах оператора по защите информации.
Требования к усилению ЗИС.23:

1) в информационной системе должна быть обеспечена возможность размещения публичных общедоступных ресурсов (в частности общедоступный веб-сервер), взаимодействующих с информационной системой через отдельные физические управляемые (контролируемые) сетевые интерфейсы;

2) в информационной системе должно быть обеспечено предоставление доступа во внутренние сегменты информационной системы (демилитаризованную зону) из внешних информационных систем и сетей только через средства защиты периметра (за исключением внутренних сегментов, которые специально выделены для такого взаимодействия);

3) оператор должен ограничить количество точек доступа в информационную систему из внешних информационных систем и сетей до минимально необходимого числа для решения постановленных задач, а также обеспечивающего постоянный и всесторонний контроль входящих и исходящих информационных потоков;

4) оператором в информационной системе:

а) должен применяться отдельный физический управляемый (контролируемый) сетевой интерфейс для каждого внешнего телекоммуникационного сервиса;

б) должны быть установлены правила управления информационными потоками для каждого физического управляемого (контролируемого) сетевого интерфейса;

в) должна обеспечиваться защита информации при ее передаче по каналам связи, имеющим выход за пределы контролируемой зоны (при необходимости), путем применения организационно-технических мер или криптографических методов в соответствии с законодательством Российской Федерации;

г) должно обеспечиваться обоснование и документирование всех исключений из правил управления информационными потоками, связанных с решением определенных задач в информационной системе, и определение продолжительности потребности таких исключений;

1 ... 16 17 18 19 20 21 22 23 24