3.13. "Методический документ. Меры защиты информации в государственных информационных системах" (утв. ФСТЭК России 11.02.2014)

ЗИС.1 РАЗДЕЛЕНИЕ В ИНФОРМАЦИОННОЙ СИСТЕМЕ ФУНКЦИЙ ПО УПРАВЛЕНИЮ (АДМИНИСТРИРОВАНИЮ) ИНФОРМАЦИОННОЙ СИСТЕМОЙ, УПРАВЛЕНИЮ (АДМИНИСТРИРОВАНИЮ) СИСТЕМОЙ ЗАЩИТЫ ИНФОРМАЦИИ, ФУНКЦИЙ ПО ОБРАБОТКЕ ИНФОРМАЦИИ И ИНЫХ ФУНКЦИЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ

Требования к реализации ЗИС.1: В информационной системе должно быть обеспечено разделение функциональных возможностей по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты информации (функций безопасности) и функциональных возможностей пользователей по обработке информации.

Функциональные возможности по управлению (администрированию) информационной системой и управлению (администрированию) системой защиты информации включают функции по управлению базами данных, прикладным программным обеспечением, телекоммуникационным оборудованием, рабочими станциями, серверами, средствами защиты информации и иные функции, требующие высоких привилегий.

Разделение функциональных возможностей обеспечивается на физическом и (или) логическом уровне путем выделения части программно-технических средств информационной системы, реализующих функциональные возможности по управлению (администрированию) информационной системой и управлению (администрированию) системой защиты информации, в отдельный домен, использования различных автоматизированных рабочих мест и серверов, различных типов операционных систем, разных способов аутентификации, различных сетевых адресов, выделенных каналов управления и (или) комбинаций данных способов, а также иными методами.

Требования к усилению ЗИС.1:

1) в информационной системе должно обеспечиваться исключение отображения функциональных возможностей по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты информации в интерфейсе пользователя;

2) в информационной системе должно обеспечиваться выделение автоматизированных рабочих мест для администраторов информационной системы;

3) в информационной системе должно обеспечиваться выделение автоматизированных рабочих мест для администраторов безопасности;

4) оператором должно обеспечиваться исключение возможности управления (администрирования) информационной системой, управления (администрирования) системой защиты информации из-за пределов контролируемой зоны.

Содержание базовой меры ЗИС.1:

ЗИС.2 ПРЕДОТВРАЩЕНИЕ ЗАДЕРЖКИ ИЛИ ПРЕРЫВАНИЯ ВЫПОЛНЕНИЯ ПРОЦЕССОВ С ВЫСОКИМ ПРИОРИТЕТОМ СО СТОРОНЫ ПРОЦЕССОВ С НИЗКИМ ПРИОРИТЕТОМ

Требования к реализации ЗИС.2: В информационной системе должно обеспечиваться предотвращение задержки или прерывания выполнения процессов с высоким приоритетом со стороны процессов (служб, сервисов) с низким приоритетом, предусматривающее:

определение приоритетов процессов (служб, сервисов) для пользователей и (или) групп пользователей и (или) ролей в информационной системе;

выполнение процессов (служб, сервисов) в информационной системе с учетом их приоритета (в первую очередь должны выполняться процессы с более высоким приоритетом);

исключение задержки и (или) вмешательства в выполнение процессов (служб, сервисов) с более высоким приоритетом со стороны процессов (служб, сервисов) с более низким приоритетом.

Требования к усилению ЗИС.2:

1) в информационной системе должно обеспечиваться исключение возможности несанкционированного изменения приоритетов выполнения процессов.

Содержание базовой меры ЗИС.2:

ЗИС.3 ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ИНФОРМАЦИИ ОТ РАСКРЫТИЯ, МОДИФИКАЦИИ И НАВЯЗЫВАНИЯ (ВВОДА ЛОЖНОЙ ИНФОРМАЦИИ) ПРИ ЕЕ ПЕРЕДАЧЕ (ПОДГОТОВКЕ К ПЕРЕДАЧЕ) ПО КАНАЛАМ СВЯЗИ, ИМЕЮЩИМ ВЫХОД ЗА ПРЕДЕЛЫ КОНТРОЛИРУЕМОЙ ЗОНЫ

Требования к реализации ЗИС.3: Оператором должна быть обеспечена защита информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны.

Защита информации обеспечивается путем защиты каналов связи от несанкционированного физического доступа (подключения) к ним и (или) применения в соответствии с законодательством Российской Федерации средств криптографической защиты информации или иными методами.

Требования к усилению ЗИС.3:

1) оператор обеспечивает защиту от модификации и навязывания (ввода ложной информации) видеоинформации (звуковой информации) путем ее маркирования и контроля (в том числе с использованием цифровых водяных знаков) в различных точках тракта ее формирования и распространения;

2) оператор обеспечивает защиту от модификации и навязывания (ввода ложной информации) передаваемой видеоинформации путем выявления и удаления скрытых вставок.

Содержание базовой меры ЗИС.3:

ЗИС.4 ОБЕСПЕЧЕНИЕ ДОВЕРЕННЫХ КАНАЛА, МАРШРУТА МЕЖДУ АДМИНИСТРАТОРОМ, ПОЛЬЗОВАТЕЛЕМ И СРЕДСТВАМИ ЗАЩИТЫ ИНФОРМАЦИИ (ФУНКЦИЯМИ БЕЗОПАСНОСТИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ)

Требования к реализации ЗИС.4: В информационной системе должны обеспечиваться доверенные маршруты передачи данных между администратором (пользователем) и средствами защиты информации (функциями безопасности средств защиты информации), определяемыми оператором.

Оператором должен быть определен перечень целей (функций) передачи данных, для которых требуется доверенный канал (маршрут).

Доверенный канал между пользователем и средствами защиты информации должен обеспечиваться при удаленном и локальном доступе в информационную систему.

Требования к усилению ЗИС.4:

Не установлены.

Содержание базовой меры ЗИС.4:

ЗИС.5 ЗАПРЕТ НЕСАНКЦИОНИРОВАННОЙ УДАЛЕННОЙ АКТИВАЦИИ ВИДЕОКАМЕР, МИКРОФОНОВ И ИНЫХ ПЕРИФЕРИЙНЫХ УСТРОЙСТВ, КОТОРЫЕ МОГУТ АКТИВИРОВАТЬСЯ УДАЛЕННО, И ОПОВЕЩЕНИЕ ПОЛЬЗОВАТЕЛЕЙ ОБ АКТИВАЦИИ ТАКИХ УСТРОЙСТВ

Требования к реализации ЗИС.5: В информационной системе должны осуществляться запрет несанкционированной удаленной активации видеокамер, микрофонов и иных периферийных устройств, которые могут активироваться удаленно, и оповещение пользователей об активации таких устройств, в том числе путем сигнализации, индикации.

Запрет несанкционированной удаленной активации должен осуществляться в отношении всех периферийных устройств ввода (вывода) информации, которые имеют возможность управления (запуска, включения, выключения) через компоненты программного обеспечения, установленные на рабочем месте пользователя, коммуникационных сервисов сторонних лиц (провайдеров) (ICQ, Skype и иные сервисы).

Запрет несанкционированной удаленной активации должен осуществляться через физическое исключение такой возможности и (или) путем управления программным обеспечением.

В исключительных случаях для решения установленных оператором отдельных задач, решаемых информационной системой, допускается возможность удаленной активации периферийных устройств. При этом должно быть обеспечено определение и фиксирование в организационно-распорядительных документах по защите информации (документирование) перечня периферийных устройств, для которых допускается возможность удаленной активации и обеспечен контроль за активацией таких устройств.

Требования к усилению ЗИС.5:

1) в информационной системе должна обеспечиваться возможность физического отключения периферийных устройств (например, отключение при организации и проведении совещаний в помещениях, где размещены видеокамеры и микрофоны);

2) в информационной системе должна обеспечиваться возможность блокирования входящего и исходящего трафика от пользователей систем, предоставляющих внешние сервисы (например, системы видеоконференцсвязи), в которых конфигурации (настройки) сервисов для конечных пользователей устанавливаются провайдерами или самими пользователями;

3) оператором обеспечивается удаление (отключение) из информационной системы (отдельных сегментов, например, расположенных в защищаемых и выделенных помещениях) периферийных устройств, перечень которых определяется оператором;

4) оператором обеспечивается запись и хранение в течение установленного времени информации, переданной (полученной) периферийными устройствами ввода (вывода) информации при разрешенной удаленной активации периферийных устройств ввода (вывода) информации.

Содержание базовой меры ЗИС.5:

ЗИС.6 ПЕРЕДАЧА И КОНТРОЛЬ ЦЕЛОСТНОСТИ АТРИБУТОВ БЕЗОПАСНОСТИ (МЕТОК БЕЗОПАСНОСТИ), СВЯЗАННЫХ С ИНФОРМАЦИЕЙ, ПРИ ОБМЕНЕ ИНФОРМАЦИЕЙ С ИНЫМИ ИНФОРМАЦИОННЫМИ СИСТЕМАМИ

Требования к реализации ЗИС.6: В информационной системе должна осуществляться передача, сопоставление (сравнение) атрибутов безопасности (меток безопасности) с информацией, которой она обменивается с иными (внешними) информационными системами.

Атрибуты безопасности могут сопоставляться с информацией, содержащейся в информационной системе, в явном или скрытом виде.

Меры по передаче и контролю целостности (сопоставлению, сравнению) атрибутов безопасности (меток безопасности) реализуются в соответствии с УПД.12.

Требования к усилению ЗИС.6:

1) в информационной системе должен обеспечиваться контроль целостности атрибутов безопасности (меток безопасности).

Содержание базовой меры ЗИС.6:

ЗИС.7 КОНТРОЛЬ САНКЦИОНИРОВАННОГО И ИСКЛЮЧЕНИЕ НЕСАНКЦИОНИРОВАННОГО ИСПОЛЬЗОВАНИЯ ТЕХНОЛОГИЙ МОБИЛЬНОГО КОДА, В ТОМ ЧИСЛЕ РЕГИСТРАЦИЯ СОБЫТИЙ, СВЯЗАННЫХ С ИСПОЛЬЗОВАНИЕМ ТЕХНОЛОГИИ МОБИЛЬНОГО КОДА, ИХ АНАЛИЗ И РЕАГИРОВАНИЕ НА НАРУШЕНИЯ, СВЯЗАННЫЕ С ИСПОЛЬЗОВАНИЕМ ТЕХНОЛОГИИ МОБИЛЬНОГО КОДА

Требования к реализации ЗИС.7: Оператором должны осуществляться контроль санкционированного и исключение несанкционированного использования технологий мобильного кода (активного контента) в информационной системе, в том числе регистрация событий, связанных с использованием технологии мобильного кода, их анализ и реагирование на нарушения, связанные с использованием технологии мобильного кода. Технология мобильного кода включает, в том числе использование Java, JavaScript, ActiveX, PDF, Postscript, Flash-анимация и VBScript и иных технологий.

При контроле использования технологий мобильного кода должно быть обеспечено:

определение перечня мобильного кода и технологий мобильного кода разрешенных и (или) запрещенных для использования в информационной системе;

определение разрешенных мест распространения (серверы информационной системы) и использования мобильного кода (автоматизированные рабочие места, мобильные технические средства информационной системы) и функций информационной системы, для которых необходимо применение технологии мобильного кода;

регистрация и анализ событий, связанных с разработкой, приобретением или внедрением технологии мобильного кода;

исключение возможности использования запрещенного мобильного кода в информационной системе, а также внедрение мобильного кода в местах, не разрешенных для его установки.

Правила и процедуры контроля использования технологий мобильного кода регламентируются в организационно-распорядительных документах оператора по защите информации.

Требования к усилению ЗИС.7:

1) в информационной системе должны быть реализованы механизмы обнаружения и анализа мобильного кода для выявления фактов несанкционированного использования мобильного кода и выполнения действий по реагированию (оповещение администраторов, изоляция мобильного кода (перемещение в карантин), блокирование мобильного кода, удаление мобильного кода) и иные действия, определяемые оператором;

2) в информационной системе должен осуществляться запрет загрузки и выполнения запрещенного мобильного кода;

3) в информационной системе для приложений, определяемых оператором, должен осуществляться запрет автоматического выполнения разрешенного мобильного кода (уведомление пользователя о получении мобильного кода и запрос разрешения на запуск или иные действия определяемые оператором);

4) в информационной системе должен осуществляться контроль подлинности источника мобильного кода и контроль целостности мобильного кода.

Содержание базовой меры ЗИС.7:

ЗИС.8 КОНТРОЛЬ САНКЦИОНИРОВАННОГО И ИСКЛЮЧЕНИЕ НЕСАНКЦИОНИРОВАННОГО ИСПОЛЬЗОВАНИЯ ТЕХНОЛОГИЙ ПЕРЕДАЧИ РЕЧИ, В ТОМ ЧИСЛЕ РЕГИСТРАЦИЯ СОБЫТИЙ, СВЯЗАННЫХ С ИСПОЛЬЗОВАНИЕМ ТЕХНОЛОГИЙ ПЕРЕДАЧИ РЕЧИ, ИХ АНАЛИЗ И РЕАГИРОВАНИЕ НА НАРУШЕНИЯ, СВЯЗАННЫЕ С ИСПОЛЬЗОВАНИЕМ ТЕХНОЛОГИЙ ПЕРЕДАЧИ РЕЧИ

Требования к реализации ЗИС.8: Оператором должны осуществляться контроль санкционированного и исключение несанкционированного использования технологий передачи речи в информационной системе, в том числе регистрация событий, связанных с использованием технологий передачи речи, их анализ и реагирование на нарушения, связанные с использованием технологий передачи речи. При контроле использования технологий передачи речи должно быть обеспечено:

определение перечня технологий (сервисов) передачи речи разрешенных и (или) запрещенных для использования в информационной системе;

определение субъектов доступа (категорий пользователей), которым разрешены разработка, приобретение или внедрение технологий передачи речи в соответствии с установленными ролями;

реализация параметров настройки, исключающих возможность удаленной конфигурации устройств передачи речи;

регистрация и анализ событий, связанных с разработкой, приобретением и внедрением технологий передачи речи;

исключение возможности использования запрещенной технологии передачи речи в информационной системе, а также разработки, приобретения и внедрения технологий передачи речи субъектам доступа (пользователям), которым не разрешено ее использование.

Технология передачи речи включает, в том числе, передачу речи через Интернет (в частности VoIP).

Правила и процедуры контроля использования технологий передачи речи регламентируются в организационно-распорядительных документах оператора по защите информации.

Требования к усилению ЗИС.8:

Не установлены.

Содержание базовой меры ЗИС.8:

ЗИС.9 КОНТРОЛЬ САНКЦИОНИРОВАННОЙ И ИСКЛЮЧЕНИЕ НЕСАНКЦИОНИРОВАННОЙ ПЕРЕДАЧИ ВИДЕОИНФОРМАЦИИ, В ТОМ ЧИСЛЕ РЕГИСТРАЦИЯ СОБЫТИЙ, СВЯЗАННЫХ С ПЕРЕДАЧЕЙ ВИДЕОИНФОРМАЦИИ, ИХ АНАЛИЗ И РЕАГИРОВАНИЕ НА НАРУШЕНИЯ, СВЯЗАННЫЕ С ПЕРЕДАЧЕЙ ВИДЕОИНФОРМАЦИИ

Требования к реализации ЗИС.9: Оператором должны осуществляться контроль санкционированного и исключение несанкционированного использования технологий передачи видеоинформации в информационной системе, в том числе регистрация событий, связанных с использованием технологий передачи видеоинформации, их анализ и реагирование на нарушения, связанные с использованием технологий передачи видеоинформации. При контроле использования технологий передачи видеоинформации должно быть обеспечено:

определение перечня технологий (сервисов) передачи видеоинформации, разрешенных и (или) запрещенных для использования в информационной системе;

определение субъектов доступа (категорий пользователей), которым разрешены разработка, приобретение или внедрение технологий передачи видеоинформации в соответствии с установленными ролями;

реализация параметров настройки, исключающих возможность удаленной конфигурации устройств передачи видеоинформации;

регистрация и анализ событий, связанных с разработкой, приобретением и внедрением технологий передачи видеоинформации;

исключение возможности использования запрещенной технологии передачи видеоинформации в информационной системе, а также разработки, приобретения и внедрения технологий передачи видеоинформации субъектов доступа (пользователям), которым не разрешено ее использование.

Технология передачи видеоинформации включает, в том числе, применение технологий видеоконференцсвязи.

Правила и процедуры контроля передачи видеоинформации регламентируются в организационно-распорядительных документах оператора по защите информации.

Требования к усилению ЗИС.9:

Не установлены.

Содержание базовой меры ЗИС.9:

ЗИС.10 ПОДТВЕРЖДЕНИЕ ПРОИСХОЖДЕНИЯ ИСТОЧНИКА ИНФОРМАЦИИ, ПОЛУЧАЕМОЙ В ПРОЦЕССЕ ОПРЕДЕЛЕНИЯ СЕТЕВЫХ АДРЕСОВ ПО СЕТЕВЫМ ИМЕНАМ ИЛИ ОПРЕДЕЛЕНИЯ СЕТЕВЫХ ИМЕН ПО СЕТЕВЫМ АДРЕСАМ

Требования к реализации ЗИС.10: В информационной системе должна обеспечиваться возможность подтверждения происхождения источника и целостности информации, получаемой в процессе определения сетевых адресов по сетевым именам или определения сетевых имен по сетевым адресам, в том числе с использованием DNS-серверов. При подтверждении происхождения источника должны обеспечиваться:

аутентификация в соответствии с ИАФ.7 и (или) ИАФ.2 сервера, являющегося источником ответов на запросы (сервер доменных имен или DNS-сервер) по определению сетевых адресов (IP-адресов) по сетевым именам (доменные имена);

аутентификация в соответствии с ИАФ.7 и (или) ИАФ.2 сервера, являющегося источником ответов на запросы (кэширующийDNS-сервер) по определению сетевых имен (доменных имен) по сетевым адресам (IP-адресам).

Требования к усилению ЗИС.10:

1) в информационной системе должен осуществляться процесс верификации цепочки доверия между основным (корневым) и подчиненными (дочерними) доменами (например, с использованием записей ресурсов в системе доменных имен, сопоставляющих сетевое имя и сетевой адрес средств вычислительной техники и технических средств).

Содержание базовой меры ЗИС.10:

ЗИС.11 ОБЕСПЕЧЕНИЕ ПОДЛИННОСТИ СЕТЕВЫХ СОЕДИНЕНИЙ (СЕАНСОВ ВЗАИМОДЕЙСТВИЯ), В ТОМ ЧИСЛЕ ДЛЯ ЗАЩИТЫ ОТ ПОДМЕНЫ СЕТЕВЫХ УСТРОЙСТВ И СЕРВИСОВ

Требования к реализации ЗИС.11: В информационной системе должно осуществляться обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов (защита от атак типа "человек посередине").

Для подтверждения подлинности сторон сетевого соединения (сеанса взаимодействия) и защиты сетевых устройств и сервисов от подмены должна осуществляться их аутентификация в соответствии с ИАФ.2 и ЗИС.10.

Контроль целостности передаваемой информации должен включать проверку целостности передаваемых пакетов (в частности в соответствии с ЗИС.3).

Требования к усилению ЗИС.11:

1) в информационной системе должно обеспечиваться признание идентификатора сеанса связи недействительным после окончания сетевого соединения;

2) в информационной системе должна осуществляться регистрация установления и разрыва сетевых соединений (сеансов взаимодействия) в целях выявления возможных инцидентов (событий безопасности);

3) в информационной системе должна осуществляться генерация и присвоение уникальных идентификаторов (одноразовых) для каждого сетевого соединения (сеанса взаимодействия) и контроль их подлинности (восприниматься должны только идентификаторы, сгенерированные информационной системой);

4) в информационной системе должно обеспечиваться обнаружение попыток повторного использования идентификаторов сетевых соединений и реагирование на эти попытки;

5) в информационной системе должна осуществляться защита от подбора идентификаторов, присваиваемых будущим сетевым соединениям (сеансам взаимодействия).

Содержание базовой меры ЗИС.11:

ЗИС.12 ИСКЛЮЧЕНИЕ ВОЗМОЖНОСТИ ОТРИЦАНИЯ ПОЛЬЗОВАТЕЛЕМ ФАКТА ОТПРАВКИ ИНФОРМАЦИИ ДРУГОМУ ПОЛЬЗОВАТЕЛЮ

Требования к реализации ЗИС.12: Оператором должно обеспечиваться исключение возможности отрицания пользователем факта отправки информации другому пользователю.

Для исключения возможности отрицания пользователем факта отправки информации другому пользователю должны осуществляться:

определение объектов или типов информации, для которых требуется обеспечение неотказуемости отправки (например, сообщения электронной почты);

обеспечение целостности информации при ее подготовке к передаче и непосредственной ее передаче по каналам связи в соответствии с ЗИС.3;

регистрация событий, связанных с отправкой информации другому пользователю в соответствии с РСБ.2.

Требования к усилению ЗИС.12:

1) в информационной системе должна обеспечиваться генерация свидетельства отправления информации (например, электронной подписи);

2) в информационной системе должна обеспечиваться связь атрибутов отправителя информации в соответствии с учетом ИАФ.1 и ИАФ.6 с полями отправляемой информации (текстом сообщения);

3) в информационной системе должна быть обеспечена возможность верификации (проверки) свидетельства отправления информации;

4) в информационной системе должна быть обеспечена возможность записи и защищенного хранения в течение установленного оператором времени информации, отправленной пользователем другому пользователю.

Содержание базовой меры ЗИС.12:

ЗИС.13 ИСКЛЮЧЕНИЕ ВОЗМОЖНОСТИ ОТРИЦАНИЯ ПОЛЬЗОВАТЕЛЕМ ФАКТА ПОЛУЧЕНИЯ ИНФОРМАЦИИ ОТ ДРУГОГО ПОЛЬЗОВАТЕЛЯ

Требования к реализации ЗИС.13: Оператором должно обеспечиваться исключение возможности отрицания пользователем факта получения информации от другого пользователя.

Для исключения возможности отрицания пользователем факта получения информации должны осуществляться:

определение объектов или типов информации, для которых требуется обеспечение неотказуемости получения (сообщения электронной почты);

обеспечение целостности полученной информации в соответствии с ЗИС.3;

регистрация событий, связанных с получением информации от другого пользователя в соответствии с РСБ.2.

Требования к усилению ЗИС.13:

1) в информационной системе должна обеспечиваться генерация свидетельства получения информации (запрос подтверждения получения или электронная подпись);

2) в информационной системе должна быть обеспечена связь атрибутов получателя информации в соответствии с ИАФ.1 и ИАФ.6 с полями отправляемой информации (текстом сообщения);

3) в информационной системе должна быть обеспечена возможность верификации (проверки) свидетельства получения информации;

4) в информационной системе должна быть обеспечена возможность записи и защищенного хранения в течение установленного оператором времени информации, полученной пользователем от другого пользователя.

Содержание базовой меры ЗИС.13:

ЗИС.14 ИСПОЛЬЗОВАНИЕ УСТРОЙСТВ ТЕРМИНАЛЬНОГО ДОСТУПА ДЛЯ ОБРАБОТКИ ИНФОРМАЦИИ

Требования к реализации ЗИС.14: Оператором для обработки информации в информационной системе должны применяться устройства терминального доступа, обладающие минимальными функциональными возможностями по обработке и хранению информации.

Применение устройств терминального доступа должно быть направлено на сосредоточение основных функций по обработке и хранению информации на серверах (в центрах обработки данных), уменьшение состава мер защиты информации, реализуемых на каждой рабочей станции, и перенос их реализации на серверы.

К таким устройствам относятся, в том числе, бездисковые рабочие станции, при использовании которых информация текущей сессии хранится в оперативной памяти или на защищенном съемном машинном носителе информации, устройства, поддерживающие технологию виртуального рабочего стола, и иные устройства.

Требования к усилению ЗИС.14:

Не установлены.

Содержание базовой меры ЗИС.14:

ЗИС.15 ЗАЩИТА АРХИВНЫХ ФАЙЛОВ, ПАРАМЕТРОВ НАСТРОЙКИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ И ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ И ИНЫХ ДАННЫХ, НЕ ПОДЛЕЖАЩИХ ИЗМЕНЕНИЮ В ПРОЦЕССЕ ОБРАБОТКИ ИНФОРМАЦИИ

Требования к реализации ЗИС.15: В информационной системе должна обеспечиваться защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения, иных данных, не подлежащих изменению в процессе обработки информации.

Защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки информации, обеспечивается принятием мер защиты информации, определенных оператором в соответствии с настоящим методическим документом, направленных на обеспечение их конфиденциальности и целостности.

Защита данных, не подлежащих изменению в процессе обработки информации, обеспечивается в отношении информации, хранящейся на жестких магнитных дисках, дисковых накопителях и иных накопителях в информационной системе.

Требования к усилению ЗИС.15:

1) оператором для обеспечения конфиденциальности и целостности архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки информации, в соответствии с законодательством Российской Федерации применяются криптографические (шифровальные) средства защиты информации (данных);

2) использование неперезаписываемых носителей или носителей с защищенной областью памяти для размещения (хранения) параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки информации.

Содержание базовой меры ЗИС.15:

ЗИС.16 ВЫЯВЛЕНИЕ, АНАЛИЗ И БЛОКИРОВАНИЕ В ИНФОРМАЦИОННОЙ СИСТЕМЕ СКРЫТЫХ КАНАЛОВ ПЕРЕДАЧИ ИНФОРМАЦИИ В ОБХОД РЕАЛИЗОВАННЫХ МЕР ЗАЩИТЫ ИНФОРМАЦИИ ИЛИ ВНУТРИ РАЗРЕШЕННЫХ СЕТЕВЫХ ПРОТОКОЛОВ

Требования к реализации ЗИС.16: Оператором должны выполняться мероприятия по выявлению и анализу скрытых каналов передачи информации для определения параметров передачи информации, которые могут использоваться для скрытого хранения информации и скрытой передачи информации за пределы информационной системы.

Выявление, анализ и блокирование скрытых каналов передачи информации выполняется с учетом национальных стандартов:

ГОСТ Р 53113-2008 Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения;

ГОСТ Р 53113.2-2009 Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 2. Рекомендации по организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов.

Выявление и анализ скрытых каналов передачи информации осуществляется на этапах разработки и реализации системы защиты информации.

Требования к усилению ЗИС.16:

Не установлены.

Содержание базовой меры ЗИС.16:

ЗИС.17 РАЗБИЕНИЕ ИНФОРМАЦИОННОЙ СИСТЕМЫ НА СЕГМЕНТЫ (СЕГМЕНТИРОВАНИЕ ИНФОРМАЦИОННОЙ СИСТЕМЫ) И ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ПЕРИМЕТРОВ СЕГМЕНТОВ ИНФОРМАЦИОННОЙ СИСТЕМЫ

Требования к реализации ЗИС.17: Оператором должно осуществляться разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечиваться защита периметров сегментов информационной системы.

Сегментирование информационной системы проводится с целью построения многоуровневой (эшелонированной) системы защиты информации путем построения сегментов на различных физических доменах или средах. Принципы сегментирования информационной системы определяются оператором с учетом функциональных и технологических особенностей процесса обработки информации и анализа угроз безопасности информации и должны заключаться в снижении вероятности реализации угроз и (или) их локализации в рамках одного сегмента.

Сегментирование информационной системы также может проводиться с целью разделения информационной системы на сегменты, имеющие различные классы защищенности информационной системы.

При сегментировании информационной системы должна быть обеспечена защита периметров сегментов информационной системы в соответствии с УПД.3 и ЗИС.23.

Требования к усилению ЗИС.17:

1) оператором осуществляется выделение сегментов информационной системы для размещения общедоступной (публичной) информации:

а) путем выделения отдельных физических сетевых интерфейсов коммуникационного оборудования и (или) средств защиты периметра;

б) путем физической изоляции сегментов информационной системы для размещения общедоступной (публичной) информации.

Содержание базовой меры ЗИС.17:

ЗИС.18 ОБЕСПЕЧЕНИЕ ЗАГРУЗКИ И ИСПОЛНЕНИЯ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ С МАШИННЫХ НОСИТЕЛЕЙ ИНФОРМАЦИИ, ДОСТУПНЫХ ТОЛЬКО ДЛЯ ЧТЕНИЯ, И КОНТРОЛЬ ЦЕЛОСТНОСТИ ДАННОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ

Требования к реализации ЗИС.18: В информационной системе должно обеспечиваться:

выделение в составе операционной системы и прикладного программного обеспечения частей, немодифицируемых в процессе загрузки и выполнения, и размещение их на машинных носителях информации, доступных только для чтения;

загрузка и выполнение на средствах вычислительной техники, определяемых оператором, операционной системы с машинных носителей информации, доступных только для чтения;

загрузка и выполнение на средствах вычислительной техники прикладного программного обеспечения, определяемого оператором, с машинных носителей информации, доступных только для чтения.

В качестве машинных носителей информации, доступных только для чтения, рассматриваются, в том числе, оптические носители CD-R/DVD-R или иные аппаратные машинные носители информации, возможность перезаписи на которые исключена технологически.

Требования к усилению ЗИС.18:

1) в сегментах (компонентах) информационной системы, определяемых оператором, применяются неперезаписываемые (защищенные от записи) машинные носители информации, устойчивые к сбоям в программном обеспечении информационной системы и отключению питания;

2) оператором должен осуществляться контроль целостности программного обеспечения, записанного на машинные носители информации, доступные только для чтения, в соответствии с ОЦЛ.1.

Содержание базовой меры ЗИС.18:

ЗИС.19 ИЗОЛЯЦИЯ ПРОЦЕССОВ (ВЫПОЛНЕНИЕ ПРОГРАММ) В ВЫДЕЛЕННОЙ ОБЛАСТИ ПАМЯТИ

Требования к реализации ЗИС.19: В информационной системе должна осуществляться изоляция процессов (выполнение программ) в выделенной области памяти.

Изоляция процессов (выполнение программ) в выделенной области памяти должна обеспечивать недоступность областей памяти, используемых процессами (программами) выполняемыми от имени одного пользователя (учетной записи), для процессов (программ), исполняемых от имени другого пользователя (учетной записи).

Изоляция процессов (выполнение программ) в выделенной области памяти реализуется в средствах вычислительной техники, определенных оператором, и как минимум должна включать изоляцию процессов, связанных с выполнением функций безопасности средств защиты информации.

Требования к усилению ЗИС.19:

Не установлены.

Содержание базовой меры ЗИС.19:

ЗИС.20 ЗАЩИТА БЕСПРОВОДНЫХ СОЕДИНЕНИЙ, ПРИМЕНЯЕМЫХ В ИНФОРМАЦИОННОЙ СИСТЕМЕ

Требования к реализации ЗИС.20: Оператором должна быть обеспечена защита беспроводных соединений, применяемых в информационной системе. Защита беспроводных соединений включает:

ограничение на использование в информационной системе беспроводных соединений (в частности 802.11xWi-Fi, 802.15.1 Bluetooth, 802.22WRAN, IrDA и иных беспроводных соединений) в соответствии с задачами (функциями) информационной системы, для решения которых такие соединения необходимы;

предоставление доступа к параметрам (изменению параметров) настройки беспроводных соединений только администраторам информационной системы;

обеспечение возможности реализации беспроводных соединений только через контролируемые интерфейсы (в том числе, путем применения средств защиты информации);

регистрация и анализ событий, связанных с использованием беспроводных соединений, в том числе для выявления попыток несанкционированного подключения к информационной системе через беспроводные соединения.

При обеспечении защиты беспроводных соединений в зависимости от их типов должны реализовываться меры по идентификации и аутентификации в соответствии с ИАФ.1, ИАФ.2 и ИАФ.6.

При невозможности исключения установления беспроводных соединений из-за пределов контролируемой зоны должны приниматься меры защищенного удаленного доступа в соответствии с УПД.13 и ЗИС.3.

Правила и процедуры применения беспроводных соединений регламентируются в организационно-распорядительных документах оператора по защите информации.

Требования к усилению ЗИС.20:

1) оператором для защиты беспроводных соединений в соответствии с законодательством Российской Федерации должны применяться средства криптографической защиты информации;

2) в информационной системе должны применяться программно-технические средства обнаружения, анализа и блокирования несанкционированного использования беспроводных технологий и подключений к информационной системе;

3) оператором должно обеспечиваться блокирование несанкционированных беспроводных подключений к информационной системе;

4) оператором должна быть исключена возможность установления беспроводных соединений из-за пределов контролируемой зоны.

Содержание базовой меры ЗИС.20:

ЗИС.21 ИСКЛЮЧЕНИЕ ДОСТУПА ПОЛЬЗОВАТЕЛЯ К ИНФОРМАЦИИ, ВОЗНИКШЕЙ В РЕЗУЛЬТАТЕ ДЕЙСТВИЙ ПРЕДЫДУЩЕГО ПОЛЬЗОВАТЕЛЯ ЧЕРЕЗ РЕЕСТРЫ, ОПЕРАТИВНУЮ ПАМЯТЬ, ВНЕШНИЕ ЗАПОМИНАЮЩИЕ УСТРОЙСТВА И ИНЫЕ ОБЩИЕ ДЛЯ ПОЛЬЗОВАТЕЛЕЙ РЕСУРСЫ ИНФОРМАЦИОННОЙ СИСТЕМЫ

Требования к реализации ЗИС.21: В информационной системе должен быть исключен доступ пользователя к информации, возникшей в результате действий предыдущего пользователя через реестры, оперативную память, внешние запоминающие устройства, ресурсы файловой системы и иные общие для пользователей ресурсы информационной системы.

Исключение доступа к информации через общие для пользователей ресурсы должно обеспечивать запрет доступа текущему пользователю (учетной записи) или текущему процессу к системным ресурсам (реестрам, оперативной памяти, внешним запоминающим устройствам) при их повторном использовании, в которых хранится информация другого (предыдущего) пользователя.

Требования к усилению ЗИС.21:

1) в информационной системе должна быть исключена возможность использования в качестве общих для пользователей ресурсов информационной системы, которые используются как интерфейс (память, однонаправленные интерфейсы (устройства) и сетевые карты) взаимодействия (связи) с системами, имеющими другие классы защищенности.

Содержание базовой меры ЗИС.21:

ЗИС.22 ЗАЩИТА ИНФОРМАЦИОННОЙ СИСТЕМЫ ОТ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ, НАПРАВЛЕННЫХ НА ОТКАЗ В ОБСЛУЖИВАНИИ ЭТОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ

Требования к реализации ЗИС.22: В информационной системе должна обеспечиваться защита от угроз безопасности информации, направленных на отказ в обслуживании этой системы.

Оператором должен быть определен перечень угроз (типов угроз) безопасности информации, направленных на отказ в обслуживании.

Защита от угроз безопасности информации, направленных на отказ в обслуживании, осуществляется посредством реализации в информационной системе мер защиты информационной системы в соответствии с ЗИС.23 и повышенными характеристиками производительности телекоммуникационного оборудования и каналов передачи совместно с резервированием информации и технических средств, программного обеспечения, каналов передачи информации в соответствии с ОДТ.2, ОДТ.4 и ОДТ.5.

Требования к усилению ЗИС.22:

1) в информационной системе обеспечивается ограничение возможностей пользователей по реализации угроз безопасности информации, направленных на отказ в обслуживании, в отношении отдельных сегментов информационной системы и других информационных систем;

2) в информационной системе обеспечивается управление характеристиками производительности телекоммуникационного оборудования и каналов передачи информации в зависимости от интенсивности реализации угроз безопасности информации, направленных на отказ в обслуживании;

3) оператором в установленном порядке обеспечивается использование услуг сторонних организаций (провайдеров) по "очистке" входящего трафика (для сброса потока пакетов, используемых нарушителем для реализации угроз безопасности, направленных на отказ в обслуживании этой информационной системы);

4) оператором обеспечивается применение средств защиты информации, предназначенных для нейтрализации угроз безопасности, направленных на отказ в обслуживании;

5) в информационной системе меры защиты от угроз безопасности информации, направленных на отказ в обслуживании, должны обеспечить возможность защиты от соответствующих атак на информационную систему без воздействия на трафик сети (подсети), в которой функционирует информационная система;

6) оператором обеспечивается возможность взаимодействия по вопросам защиты информации от угроз, направленных на отказ в обслуживании, со специальными системами уполномоченных органов с учетом требований по защите информации.

Содержание базовой меры ЗИС.22:

ЗИС.23 ЗАЩИТА ПЕРИМЕТРА (ФИЗИЧЕСКИХ И (ИЛИ) ЛОГИЧЕСКИХ ГРАНИЦ) ИНФОРМАЦИОННОЙ СИСТЕМЫ ПРИ ЕЕ ВЗАИМОДЕЙСТВИИ С ИНЫМИ ИНФОРМАЦИОННЫМИ СИСТЕМАМИ И ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫМИ СЕТЯМИ

Требования к реализации ЗИС.23: В информационной системе должна осуществляться защита периметра (физических и (или) логических границ) информационной системы при ее взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями, предусматривающая:

управление (контроль) входящими в информационную систему и исходящими из информационной системы информационными потоками на физической и (или) логической границе информационной системы (сегментов информационной системы);

обеспечение взаимодействия информационной системы и (или) ее сегментов с иными информационными системами и сетями только через сетевые интерфейсы, которые обеспечивают управление (контроль) информационными потоками с использованием средств защиты информации (управляемые (контролируемые) сетевые интерфейсы), установленных на физическом и (или) логическом периметре информационной системы или ее отдельных сегментов (маршрутизаторов, межсетевых экранов, коммутаторов, прокси-серверов, шлюзов безопасности, средств построения виртуальных частных сетей и иных средств защиты информации).

Правила и процедуры защиты периметра информационной системы регламентируются в организационно-распорядительных документах оператора по защите информации.

Требования к усилению ЗИС.23:

1) в информационной системе должна быть обеспечена возможность размещения публичных общедоступных ресурсов (в частности общедоступный веб-сервер), взаимодействующих с информационной системой через отдельные физические управляемые (контролируемые) сетевые интерфейсы;

2) в информационной системе должно быть обеспечено предоставление доступа во внутренние сегменты информационной системы (демилитаризованную зону) из внешних информационных систем и сетей только через средства защиты периметра (за исключением внутренних сегментов, которые специально выделены для такого взаимодействия);

3) оператор должен ограничить количество точек доступа в информационную систему из внешних информационных систем и сетей до минимально необходимого числа для решения постановленных задач, а также обеспечивающего постоянный и всесторонний контроль входящих и исходящих информационных потоков;

4) оператором в информационной системе:

а) должен применяться отдельный физический управляемый (контролируемый) сетевой интерфейс для каждого внешнего телекоммуникационного сервиса;

б) должны быть установлены правила управления информационными потоками для каждого физического управляемого (контролируемого) сетевого интерфейса;

в) должна обеспечиваться защита информации при ее передаче по каналам связи, имеющим выход за пределы контролируемой зоны (при необходимости), путем применения организационно-технических мер или криптографических методов в соответствии с законодательством Российской Федерации;

г) должно обеспечиваться обоснование и документирование всех исключений из правил управления информационными потоками, связанных с решением определенных задач в информационной системе, и определение продолжительности потребности таких исключений;

д) должно обеспечиваться удаление введенных исключений из правил управления информационными потоками после истечения установленного времени;

5) в информационной системе должен быть исключен выход (вход) через управляемые (контролируемые) сетевые интерфейсы информационных потоков по умолчанию (реализация принципа "запрещено все, что не разрешено");

6) оператором обеспечивается запрет передачи информации за пределы периметра информационной системы при отказе (сбое) функционирования средств защиты периметра;

7) в информационной системе должна быть исключена возможность информационного взаимодействия мобильных и иных технических средств (устройств) с внешними информационными системами и информационно-телекоммуникационным сетям в процессе их удаленного подключения к защищаемой информационной системе с использованием средств построения виртуальных частных сетей;

8) в информационной системе обеспечивается сетевое соединение внутренних сегментов информационной системы (отдельных средств вычислительной техники), определенных оператором, с установленными им внешними информационными системами и сетями через прокси-серверы, размещенные совместно со средствами защиты периметра, обеспечивающие логирование (отслеживание) TCP-сессий, блокирование конкретных URL, доменных имен, IP-адресов и другим параметрам запросов к внешним информационным ресурсам;

9) в информационной системе исключается возможность выхода через управляемые (контролируемые) сетевые интерфейсы информационных потоков, содержащих вредоносное программное обеспечение (вирусы) или признаки компьютерных атак представляющих угрозу внешним информационным системам и сетям;

10) в информационной системе исключается возможность утечки информации через управляемые (контролируемые) сетевые интерфейсы путем точного соблюдения форматов протоколов, контроля использования стеганографии, отключения внешних сетевых интерфейсов, разборки и сборки пакетов данных, контроля отклонения типа и объема информационного потока от установленного профиля;

11) в информационной системе должна быть обеспечена проверка адреса источника информационного потока и адреса получателя информационного потока с целью подтверждения того, что информационное взаимодействие между этими адресами разрешено;

12) в информационной системе обеспечивается защита периметра с использованием шлюза безопасности на уровне узлов (хостов) для серверов, рабочих станций и мобильных технических средств;

13) в информационной системе обеспечивается сокрытие сетевых адресов используемых для управления средствами защиты периметра, информация о которых может быть получена через технологии определения устройств в сети (в частности систему доменных имен);

14) оператором обеспечивается отделение через отдельный физический управляемый (контролируемый) сетевой интерфейс функций безопасности и управления (администрирования) информационной системы, определенных оператором, от других (внутренних) компонентов информационной системы;

15) оператором обеспечивается исключение возможности несанкционированного физического сетевого подключения к управляемым (контролируемым) сетевым интерфейсам (сетевым интерфейсам средств защиты периметра);

16) в информационной системе для контроля (анализа) защищенности доступ администраторов обеспечивается через выделенный отдельный физический управляемый (контролируемый) сетевой интерфейс;

17) оператором применяются автоматизированные средства, обеспечивающие строгое соблюдение формата сетевых протоколов на уровне приложений (проверка пакетов на предмет соблюдения спецификаций протокола на уровне приложений);

18) в информационной системе обеспечивается корректное завершение ее функционирования в случае нарушения функционирования (сбоя, отказов) средств защиты периметра;

19) в информационной системе при необходимости предоставлять доступ к ресурсам информационной системы должна быть организована демилитаризованная зона, содержащая доступные ресурсы;

20) в информационной системе должна быть обеспечена возможность размещения публичных общедоступных ресурсов (например, общедоступный веб-сервер), взаимодействующих с информационной системой через отдельные физические управляемые (контролируемые) сетевые интерфейсы.

Содержание базовой меры ЗИС.23:

ЗИС.24 ПРЕКРАЩЕНИЕ СЕТЕВЫХ СОЕДИНЕНИЙ ПО ИХ ЗАВЕРШЕНИИ ИЛИ ПО ИСТЕЧЕНИИ ЗАДАННОГО ОПЕРАТОРОМ ВРЕМЕННОГО ИНТЕРВАЛА НЕАКТИВНОСТИ СЕТЕВОГО СОЕДИНЕНИЯ

Требования к реализации ЗИС.24: В информационной системе должно осуществляться завершение сетевых соединений (например, открепление пары порт/адрес (TCP/IP)) по их завершении и (или) по истечении заданного оператором временного интервала неактивности сетевого соединения.

Требования к усилению ЗИС.24:

Не установлены.

Содержание базовой меры ЗИС.24:

ЗИС.25 ИСПОЛЬЗОВАНИЕ В ИНФОРМАЦИОННОЙ СИСТЕМЕ ИЛИ ЕЕ СЕГМЕНТАХ РАЗЛИЧНЫХ ТИПОВ ОБЩЕСИСТЕМНОГО, ПРИКЛАДНОГО И СПЕЦИАЛЬНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ (СОЗДАНИЕ ГЕТЕРОГЕННОЙ СРЕДЫ)

Требования к реализации ЗИС.25: Проектировщиком при создании информационной должны применяться различные типы общесистемного, прикладного и специального программного обеспечения (создание гетерогенной среды).

Гетерогенная среда создается путем применения различных типов информационных технологий с целью ограничения возможностей потенциальных нарушителей по реализации угроз безопасности информации (по несанкционированному доступу к информации, внедрению вредоносного программного обеспечения (компьютерных вирусов) и по организации вторжений (проведению компьютерных атак)).

Создание гетерогенной среды может достигаться в частности применением на серверах информационной системы UNIX-подобных операционных систем, отличных от операционных систем, применяемых на автоматизированных рабочих местах типа Windows и (или) применением в смежных сетевых сегментах информационной системы разных типов сетевого общесистемного, прикладного и (или) специального программного обеспечения.

При создании гетерогенной среды необходимо учитывать повышение сложности в управлении конфигурацией информационной системы и возможность увеличения ошибок конфигурации и возможных уязвимостей.

Требования к усилению ЗИС.25:

Не установлены.

Содержание базовой меры ЗИС.25:

ЗИС.26 ИСПОЛЬЗОВАНИЕ ПРИКЛАДНОГО И СПЕЦИАЛЬНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, ИМЕЮЩЕГО ВОЗМОЖНОСТЬ ФУНКЦИОНИРОВАНИЯ НА РАЗЛИЧНЫХ ТИПАХ ОПЕРАЦИОННЫХ СИСТЕМ

Требования к реализации ЗИС.26: В информационной системе должно применяться прикладное и специальное программное обеспечение, имеющее возможность функционирования на различных типах операционных системах (независимое от вида операционной системы прикладное и специальное программное обеспечение).

Целью применения независимого от платформы операционной системы прикладного и специального программного обеспечения является обеспечение бесперебойного (штатного) функционирования прикладного (специального) программного обеспечения путем перевода его под управление операционной системы другого типа в случае реализации компьютерной атаки (возникновения инцидента) на основную операционную систему до восстановления безопасного функционирования информационной системы.

Применение независимого от типа (вида) операционной системы прикладного и специального программного обеспечения достигается в частности применением программного обеспечения, функционирование которого возможно как под управлением UNIX-подобных операционных систем, так и под управлением операционных систем типа Windows или иных операционных систем.

Перечень прикладного и специального программного обеспечения, имеющего возможность функционирования на различных типах операционных системах, определяется оператором.

Требования к усилению ЗИС.26:

Не установлены.

Содержание базовой меры ЗИС.26:

ЗИС.27 СОЗДАНИЕ (ЭМУЛЯЦИЯ) ЛОЖНЫХ ИНФОРМАЦИОННЫХ СИСТЕМ ИЛИ ИХ КОМПОНЕНТОВ, ПРЕДНАЗНАЧЕННЫХ ДЛЯ ОБНАРУЖЕНИЯ, РЕГИСТРАЦИИ И АНАЛИЗА ДЕЙСТВИЙ НАРУШИТЕЛЕЙ В ПРОЦЕССЕ РЕАЛИЗАЦИИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ

Требования к реализации ЗИС.27: В информационной системе должны применяться специально созданные (эмулированные) ложные компоненты информационной системы или создаются ложные информационные системы, предназначенные для обнаружения, регистрации и анализа действий нарушителей в процессе реализации угроз безопасности информации.

Ложные информационные системы или их компоненты должны выступать в качестве целей для нарушителя при реализации им компьютерной атаки и обеспечивать имитацию функционирования реальной информационной системы с целью обнаружения, регистрации и анализа действий этих нарушителей по реализации компьютерной атаки, а также принятия мер по предотвращению указанных угроз.

Правила и процедуры применения ложных информационных систем или их компонентов регламентируются в организационно-распорядительных документах оператора по защите информации.

Требования к усилению ЗИС.27:

1) в информационной системе применяются ложные компоненты информационной системы, выступающие в качестве цели для вредоносного программного обеспечения (вируса) и провоцирующие преждевременное (до воздействия на защищаемый объект доступа) проявление его признаков.

Содержание базовой меры ЗИС.27:

ЗИС.28 ВОСПРОИЗВЕДЕНИЕ ЛОЖНЫХ И (ИЛИ) СКРЫТИЕ ИСТИННЫХ ОТДЕЛЬНЫХ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И (ИЛИ) СТРУКТУРНО-ФУНКЦИОНАЛЬНЫХ ХАРАКТЕРИСТИК ИНФОРМАЦИОННОЙ СИСТЕМЫ ИЛИ ЕЕ СЕГМЕНТОВ, ОБЕСПЕЧИВАЮЩЕЕ НАВЯЗЫВАНИЕ У НАРУШИТЕЛЯ ЛОЖНОГО ПРЕДСТАВЛЕНИЯ ОБ ИСТИННЫХ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ И (ИЛИ) СТРУКТУРНО-ФУНКЦИОНАЛЬНЫХ ХАРАКТЕРИСТИКАХ ИНФОРМАЦИОННОЙ СИСТЕМЫ

Требования к реализации ЗИС.28: Оператором должно обеспечиваться воспроизведение ложных и (или) скрытие истинных отдельных информационных технологий и (или) структурно-функциональных характеристик информационной системы или ее сегментов, обеспечивающее навязывание у нарушителя ложного представления об истинных информационных технологиях и (или) структурно-функциональных характеристиках информационной системы.

Воспроизведение (визуализация) ложных и (или) скрытие (маскирование) истинных отдельных информационных технологий и (или) структурно-функциональных характеристик информационной системы или ее сегментов должны быть направлены на снижение возможности успешной реализации нарушителем угрозы безопасности информации (компьютерной атаки) путем введения в заблуждение нарушителя относительно возможных способов и средств компьютерных атак на информационную систему.

При этом визуализация ложных и (или) маскирование истинных отдельных информационных технологий и (или) структурно-функциональных характеристик информационной системы позволяют снизить или исключить затраты на внедрение сложных средств защиты информации.

Требования к усилению ЗИС.28:

1) визуализация ложных информационных технологий и (или) структурно-функциональных характеристик осуществляется в произвольном порядке с периодичностью, определяемой оператором.

Содержание базовой меры ЗИС.28:

ЗИС.29 ПЕРЕВОД ИНФОРМАЦИОННОЙ СИСТЕМЫ ИЛИ ЕЕ УСТРОЙСТВ (КОМПОНЕНТОВ) В ЗАРАНЕЕ ОПРЕДЕЛЕННУЮ КОНФИГУРАЦИЮ, ОБЕСПЕЧИВАЮЩУЮ ЗАЩИТУ ИНФОРМАЦИИ, В СЛУЧАЕ ВОЗНИКНОВЕНИЯ ОТКАЗОВ (СБОЕВ) В СИСТЕМЕ ЗАЩИТЫ ИНФОРМАЦИИ ИНФОРМАЦИОННОЙ СИСТЕМЫ

Требования к реализации ЗИС.29: В информационной системе должен осуществляться перевод информационной системы или ее устройств (компонентов) в заранее определенную конфигурацию, обеспечивающую защиту информации, в случае возникновении отказов (сбоев) в системе защиты информации информационной системы.

Перевод информационной системы или ее устройств (компонентов) в заранее определенную конфигурацию должен обеспечивать защиту информации при наступлении (возникновении) отказов (сбоев) в функционировании информационной системы или ее сегментов, которые могут привести к нарушению конфиденциальности, целостности и (или) доступности этой информации.

Оператором должны быть определены типы отказов (сбоев) в системе защиты информации информационной системы, которые могут привести к нарушению конфиденциальности, целостности и (или) доступности этой информации, и при наступлении (возникновении) которых должен обеспечиваться перевод информационной системы или ее устройств (компонентов) в заранее определенную конфигурацию.

Заранее определенная конфигурация информационной системы должна содержать информацию о состоянии информационной системы и ее системе защиты информации (системная информация, параметры настроек программного обеспечения, включая средств защиты информации), достаточной для перезапуска информационной системы и обеспечения ее функционирования в штатном режиме, при котором также обеспечивается защита информации.

Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы осуществляется в соответствии с ОДТ.2, резервное копирование информации - в соответствии с ОДТ.4.

Контроль безотказного функционирования технических средств информационной системы осуществляется в соответствии с ОДТ.3.

Обеспечение возможности восстановления информации с резервных машинных носителей информации (резервных копий) в течение установленного временного интервала осуществляется в соответствии с ОДТ.5.

Требования к усилению ЗИС.29:

Не установлены.

Содержание базовой меры ЗИС.29:

ЗИС.30 ЗАЩИТА МОБИЛЬНЫХ ТЕХНИЧЕСКИХ СРЕДСТВ, ПРИМЕНЯЕМЫХ В ИНФОРМАЦИОННОЙ СИСТЕМЕ

Требования к реализации ЗИС.30: Оператором должна осуществляться защита применяемых в информационной системе мобильных технических средств.

К мобильным техническим средствам относятся съемные машинные носители информации (флэш-накопители, внешние накопители на жестких дисках и иные носители), а также портативные вычислительные устройства и устройства связи с возможностью обработки информации (например, ноутбуки, нетбуки, планшеты, сотовые телефоны, цифровые камеры, звукозаписывающие устройства и иные средства).

Защита мобильных технических средств включает:

Реализацию в зависимости от мобильного технического средства (типа мобильного технического средства) мер по идентификации и аутентификации в соответствии с ИАФ.1 и ИАФ.5, управлению доступом в соответствии с УПД.2, УПД.5, УПД.13 и УПД.15, ограничению программной среды в соответствии с ОПС.3, защите машинных носителей информации в соответствии с ЗНИ.1, ЗНИ.2, ЗНИ.4, ЗНИ.8, регистрации событий безопасности в соответствии с РСБ.1, РСБ.2, РСБ.3 и РСБ.5, антивирусной защите в соответствии с АВЗ.1 и АВЗ.2, контролю (анализу) защищенности в соответствии с АНЗ.1, АНЗ.2 и АНЗ.3, обеспечению целостности в соответствии с ОЦЛ.1;

очистку (удаление) информации в мобильном техническом средстве после завершения сеанса удаленного доступа к защищаемой информации или принятие иных мер, исключающих несанкционированный доступ к хранимой защищаемой информации;

уничтожение съемных машинных носителей информации, которые не подлежат очистке;

выборочные проверки мобильных технических средств (на предмет их наличия) и хранящейся на них информации (например, на предмет отсутствия информации, не соответствующей маркировке носителя информации);

запрет возможности автоматического запуска (без команды пользователя) в информационной системе программного обеспечения на мобильных технических средствах.

Правила и процедуры защиты мобильных технических средств регламентируются в организационно-распорядительных документах оператора по защите информации.

Требования к усилению ЗИС.30:

1) оператором должны применяться средства ограничения доступа к информации на съемных машинных носителях информации с использованием специализированных съемных машинных носителей информации и средств контроля съемных машинных носителей информации с учетом ЗНИ.4;

2) оператором должна обеспечиваться очистка (удаление) информации в мобильном техническом средстве:

а) при превышении допустимого числа неуспешных попыток входа в информационную систему под конкретной учетной записью (доступа к информационной системе), осуществляемых с мобильного устройства;

б) при превышении допустимого интервала времени с начала осуществления попыток входа в информационную систему под конкретной учетной записью, осуществляемых с мобильного устройства;

3) оператором должно обеспечиваться применение технических средств защиты периметра уровня узла, устанавливаемых на портативные вычислительные устройства;

4) оператором должно обеспечиваться использование радиометок (RFID-меток) для контроля вноса или выноса мобильных технических устройств из помещения и (или) контролируемой зоны в целом;

5) оператором обеспечивается шифрование хранимой на носителе мобильного технического средства информации с применением криптографических методов защиты информации в соответствии с законодательством Российской Федерации.

Содержание базовой меры ЗИС.30: