Методический документ. Меры защиты информации в государствен. Методический документ. Меры защиты информации в государственных информационных системах

Название	Методический документ. Меры защиты информации в государственных информационных системах
Дата	04.03.2023
Размер	1.36 Mb.
Формат файла
Имя файла	Методический документ. Меры защиты информации в государствен.rtf
Тип	Документы #968665
страница	22 из 24

1 ... 16 17 18 19 20 21 22 23 24

д) должно обеспечиваться удаление введенных исключений из правил управления информационными потоками после истечения установленного времени;

5) в информационной системе должен быть исключен выход (вход) через управляемые (контролируемые) сетевые интерфейсы информационных потоков по умолчанию (реализация принципа "запрещено все, что не разрешено");

6) оператором обеспечивается запрет передачи информации за пределы периметра информационной системы при отказе (сбое) функционирования средств защиты периметра;

7) в информационной системе должна быть исключена возможность информационного взаимодействия мобильных и иных технических средств (устройств) с внешними информационными системами и информационно-телекоммуникационным сетям в процессе их удаленного подключения к защищаемой информационной системе с использованием средств построения виртуальных частных сетей;

8) в информационной системе обеспечивается сетевое соединение внутренних сегментов информационной системы (отдельных средств вычислительной техники), определенных оператором, с установленными им внешними информационными системами и сетями через прокси-серверы, размещенные совместно со средствами защиты периметра, обеспечивающие логирование (отслеживание) TCP-сессий, блокирование конкретных URL, доменных имен, IP-адресов и другим параметрам запросов к внешним информационным ресурсам;

9) в информационной системе исключается возможность выхода через управляемые (контролируемые) сетевые интерфейсы информационных потоков, содержащих вредоносное программное обеспечение (вирусы) или признаки компьютерных атак представляющих угрозу внешним информационным системам и сетям;

10) в информационной системе исключается возможность утечки информации через управляемые (контролируемые) сетевые интерфейсы путем точного соблюдения форматов протоколов, контроля использования стеганографии, отключения внешних сетевых интерфейсов, разборки и сборки пакетов данных, контроля отклонения типа и объема информационного потока от установленного профиля;

11) в информационной системе должна быть обеспечена проверка адреса источника информационного потока и адреса получателя информационного потока с целью подтверждения того, что информационное взаимодействие между этими адресами разрешено;

12) в информационной системе обеспечивается защита периметра с использованием шлюза безопасности на уровне узлов (хостов) для серверов, рабочих станций и мобильных технических средств;

13) в информационной системе обеспечивается сокрытие сетевых адресов используемых для управления средствами защиты периметра, информация о которых может быть получена через технологии определения устройств в сети (в частности систему доменных имен);

14) оператором обеспечивается отделение через отдельный физический управляемый (контролируемый) сетевой интерфейс функций безопасности и управления (администрирования) информационной системы, определенных оператором, от других (внутренних) компонентов информационной системы;

15) оператором обеспечивается исключение возможности несанкционированного физического сетевого подключения к управляемым (контролируемым) сетевым интерфейсам (сетевым интерфейсам средств защиты периметра);

16) в информационной системе для контроля (анализа) защищенности доступ администраторов обеспечивается через выделенный отдельный физический управляемый (контролируемый) сетевой интерфейс;

17) оператором применяются автоматизированные средства, обеспечивающие строгое соблюдение формата сетевых протоколов на уровне приложений (проверка пакетов на предмет соблюдения спецификаций протокола на уровне приложений);

18) в информационной системе обеспечивается корректное завершение ее функционирования в случае нарушения функционирования (сбоя, отказов) средств защиты периметра;

19) в информационной системе при необходимости предоставлять доступ к ресурсам информационной системы должна быть организована демилитаризованная зона, содержащая доступные ресурсы;

20) в информационной системе должна быть обеспечена возможность размещения публичных общедоступных ресурсов (например, общедоступный веб-сервер), взаимодействующих с информационной системой через отдельные физические управляемые (контролируемые) сетевые интерфейсы.
Содержание базовой меры ЗИС.23:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1
ЗИС.23	+	+
Усиление ЗИС.23	1, 2, 3, 4а, 4б, 4в, 5	1, 2, 3, 4а, 4б, 4в, 4г, 4д, 5, 6, 7

ЗИС.24 ПРЕКРАЩЕНИЕ СЕТЕВЫХ СОЕДИНЕНИЙ ПО ИХ ЗАВЕРШЕНИИ ИЛИ ПО ИСТЕЧЕНИИ ЗАДАННОГО ОПЕРАТОРОМ ВРЕМЕННОГО ИНТЕРВАЛА НЕАКТИВНОСТИ СЕТЕВОГО СОЕДИНЕНИЯ
Требования к реализации ЗИС.24: В информационной системе должно осуществляться завершение сетевых соединений (например, открепление пары порт/адрес (TCP/IP)) по их завершении и (или) по истечении заданного оператором временного интервала неактивности сетевого соединения.
Требования к усилению ЗИС.24:

Не установлены.
Содержание базовой меры ЗИС.24:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1
ЗИС.24	+	+
Усиление ЗИС.24

ЗИС.25 ИСПОЛЬЗОВАНИЕ В ИНФОРМАЦИОННОЙ СИСТЕМЕ ИЛИ ЕЕ СЕГМЕНТАХ РАЗЛИЧНЫХ ТИПОВ ОБЩЕСИСТЕМНОГО, ПРИКЛАДНОГО И СПЕЦИАЛЬНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ (СОЗДАНИЕ ГЕТЕРОГЕННОЙ СРЕДЫ)
Требования к реализации ЗИС.25: Проектировщиком при создании информационной должны применяться различные типы общесистемного, прикладного и специального программного обеспечения (создание гетерогенной среды).

Гетерогенная среда создается путем применения различных типов информационных технологий с целью ограничения возможностей потенциальных нарушителей по реализации угроз безопасности информации (по несанкционированному доступу к информации, внедрению вредоносного программного обеспечения (компьютерных вирусов) и по организации вторжений (проведению компьютерных атак)).

Создание гетерогенной среды может достигаться в частности применением на серверах информационной системы UNIX-подобных операционных систем, отличных от операционных систем, применяемых на автоматизированных рабочих местах типа Windows и (или) применением в смежных сетевых сегментах информационной системы разных типов сетевого общесистемного, прикладного и (или) специального программного обеспечения.

При создании гетерогенной среды необходимо учитывать повышение сложности в управлении конфигурацией информационной системы и возможность увеличения ошибок конфигурации и возможных уязвимостей.
Требования к усилению ЗИС.25:

Не установлены.
Содержание базовой меры ЗИС.25:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1
ЗИС.25
Усиление ЗИС.25

ЗИС.26 ИСПОЛЬЗОВАНИЕ ПРИКЛАДНОГО И СПЕЦИАЛЬНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, ИМЕЮЩЕГО ВОЗМОЖНОСТЬ ФУНКЦИОНИРОВАНИЯ НА РАЗЛИЧНЫХ ТИПАХ ОПЕРАЦИОННЫХ СИСТЕМ
Требования к реализации ЗИС.26: В информационной системе должно применяться прикладное и специальное программное обеспечение, имеющее возможность функционирования на различных типах операционных системах (независимое от вида операционной системы прикладное и специальное программное обеспечение).

Целью применения независимого от платформы операционной системы прикладного и специального программного обеспечения является обеспечение бесперебойного (штатного) функционирования прикладного (специального) программного обеспечения путем перевода его под управление операционной системы другого типа в случае реализации компьютерной атаки (возникновения инцидента) на основную операционную систему до восстановления безопасного функционирования информационной системы.

Применение независимого от типа (вида) операционной системы прикладного и специального программного обеспечения достигается в частности применением программного обеспечения, функционирование которого возможно как под управлением UNIX-подобных операционных систем, так и под управлением операционных систем типа Windows или иных операционных систем.

Перечень прикладного и специального программного обеспечения, имеющего возможность функционирования на различных типах операционных системах, определяется оператором.
Требования к усилению ЗИС.26:

Не установлены.
Содержание базовой меры ЗИС.26:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1
ЗИС.26
Усиление ЗИС.26

ЗИС.27 СОЗДАНИЕ (ЭМУЛЯЦИЯ) ЛОЖНЫХ ИНФОРМАЦИОННЫХ СИСТЕМ ИЛИ ИХ КОМПОНЕНТОВ, ПРЕДНАЗНАЧЕННЫХ ДЛЯ ОБНАРУЖЕНИЯ, РЕГИСТРАЦИИ И АНАЛИЗА ДЕЙСТВИЙ НАРУШИТЕЛЕЙ В ПРОЦЕССЕ РЕАЛИЗАЦИИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Требования к реализации ЗИС.27: В информационной системе должны применяться специально созданные (эмулированные) ложные компоненты информационной системы или создаются ложные информационные системы, предназначенные для обнаружения, регистрации и анализа действий нарушителей в процессе реализации угроз безопасности информации.

Ложные информационные системы или их компоненты должны выступать в качестве целей для нарушителя при реализации им компьютерной атаки и обеспечивать имитацию функционирования реальной информационной системы с целью обнаружения, регистрации и анализа действий этих нарушителей по реализации компьютерной атаки, а также принятия мер по предотвращению указанных угроз.

Правила и процедуры применения ложных информационных систем или их компонентов регламентируются в организационно-распорядительных документах оператора по защите информации.
Требования к усилению ЗИС.27:

1) в информационной системе применяются ложные компоненты информационной системы, выступающие в качестве цели для вредоносного программного обеспечения (вируса) и провоцирующие преждевременное (до воздействия на защищаемый объект доступа) проявление его признаков.
Содержание базовой меры ЗИС.27:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1
ЗИС.27
Усиление ЗИС.27

ЗИС.28 ВОСПРОИЗВЕДЕНИЕ ЛОЖНЫХ И (ИЛИ) СКРЫТИЕ ИСТИННЫХ ОТДЕЛЬНЫХ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И (ИЛИ) СТРУКТУРНО-ФУНКЦИОНАЛЬНЫХ ХАРАКТЕРИСТИК ИНФОРМАЦИОННОЙ СИСТЕМЫ ИЛИ ЕЕ СЕГМЕНТОВ, ОБЕСПЕЧИВАЮЩЕЕ НАВЯЗЫВАНИЕ У НАРУШИТЕЛЯ ЛОЖНОГО ПРЕДСТАВЛЕНИЯ ОБ ИСТИННЫХ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ И (ИЛИ) СТРУКТУРНО-ФУНКЦИОНАЛЬНЫХ ХАРАКТЕРИСТИКАХ ИНФОРМАЦИОННОЙ СИСТЕМЫ
Требования к реализации ЗИС.28: Оператором должно обеспечиваться воспроизведение ложных и (или) скрытие истинных отдельных информационных технологий и (или) структурно-функциональных характеристик информационной системы или ее сегментов, обеспечивающее навязывание у нарушителя ложного представления об истинных информационных технологиях и (или) структурно-функциональных характеристиках информационной системы.

Воспроизведение (визуализация) ложных и (или) скрытие (маскирование) истинных отдельных информационных технологий и (или) структурно-функциональных характеристик информационной системы или ее сегментов должны быть направлены на снижение возможности успешной реализации нарушителем угрозы безопасности информации (компьютерной атаки) путем введения в заблуждение нарушителя относительно возможных способов и средств компьютерных атак на информационную систему.

При этом визуализация ложных и (или) маскирование истинных отдельных информационных технологий и (или) структурно-функциональных характеристик информационной системы позволяют снизить или исключить затраты на внедрение сложных средств защиты информации.
Требования к усилению ЗИС.28:

1) визуализация ложных информационных технологий и (или) структурно-функциональных характеристик осуществляется в произвольном порядке с периодичностью, определяемой оператором.
Содержание базовой меры ЗИС.28:

Мера защиты информации Класс защищенности информационной системы 4 3 2 1
ЗИС.28
Усиление ЗИС.28

ЗИС.29 ПЕРЕВОД ИНФОРМАЦИОННОЙ СИСТЕМЫ ИЛИ ЕЕ УСТРОЙСТВ (КОМПОНЕНТОВ) В ЗАРАНЕЕ ОПРЕДЕЛЕННУЮ КОНФИГУРАЦИЮ, ОБЕСПЕЧИВАЮЩУЮ ЗАЩИТУ ИНФОРМАЦИИ, В СЛУЧАЕ ВОЗНИКНОВЕНИЯ ОТКАЗОВ (СБОЕВ) В СИСТЕМЕ ЗАЩИТЫ ИНФОРМАЦИИ ИНФОРМАЦИОННОЙ СИСТЕМЫ
Требования к реализации ЗИС.29: В информационной системе должен осуществляться перевод информационной системы или ее устройств (компонентов) в заранее определенную конфигурацию, обеспечивающую защиту информации, в случае возникновении отказов (сбоев) в системе защиты информации информационной системы.

Перевод информационной системы или ее устройств (компонентов) в заранее определенную конфигурацию должен обеспечивать защиту информации при наступлении (возникновении) отказов (сбоев) в функционировании информационной системы или ее сегментов, которые могут привести к нарушению конфиденциальности, целостности и (или) доступности этой информации.

Оператором должны быть определены типы отказов (сбоев) в системе защиты информации информационной системы, которые могут привести к нарушению конфиденциальности, целостности и (или) доступности этой информации, и при наступлении (возникновении) которых должен обеспечиваться перевод информационной системы или ее устройств (компонентов) в заранее определенную конфигурацию.

Заранее определенная конфигурация информационной системы должна содержать информацию о состоянии информационной системы и ее системе защиты информации (системная информация, параметры настроек программного обеспечения, включая средств защиты информации), достаточной для перезапуска информационной системы и обеспечения ее функционирования в штатном режиме, при котором также обеспечивается защита информации.

Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы осуществляется в соответствии с ОДТ.2, резервное копирование информации - в соответствии с ОДТ.4.

Контроль безотказного функционирования технических средств информационной системы осуществляется в соответствии с ОДТ.3.

Обеспечение возможности восстановления информации с резервных машинных носителей информации (резервных копий) в течение установленного временного интервала осуществляется в соответствии с ОДТ.5.

1 ... 16 17 18 19 20 21 22 23 24