3.2. "Методический документ. Меры защиты информации в государственных информационных системах" (утв. ФСТЭК России 11.02.2014)

УПД.1 УПРАВЛЕНИЕ (ЗАВЕДЕНИЕ, АКТИВАЦИЯ, БЛОКИРОВАНИЕ И УНИЧТОЖЕНИЕ) УЧЕТНЫМИ ЗАПИСЯМИ ПОЛЬЗОВАТЕЛЕЙ, В ТОМ ЧИСЛЕ ВНЕШНИХ ПОЛЬЗОВАТЕЛЕЙ

Требования к реализации УПД.1: Оператором должны быть установлены и реализованы следующие функции управления учетными записями пользователей, в том числе внешних пользователей:

определение типа учетной записи (внутреннего пользователя, внешнего пользователя; системная, приложения; гостевая (анонимная), временная и (или) иные типы записей);

объединение учетных записей в группы (при необходимости);

верификацию пользователя (проверка личности пользователя, его должностных (функциональных) обязанностей) при заведении учетной записи пользователя;

заведение, активация, блокирование и уничтожение учетных записей пользователей;

пересмотр и, при необходимости, корректировка учетных записей пользователей с периодичностью, определяемой оператором;

порядок заведения и контроля использования гостевых (анонимных) и временных учетных записей пользователей, а также привилегированных учетных записей администраторов;

оповещение администратора, осуществляющего управление учетными записями пользователей, об изменении сведений о пользователях, их ролях, обязанностях, полномочиях, ограничениях;

уничтожение временных учетных записей пользователей, предоставленных для однократного (ограниченного по времени) выполнения задач в информационной системе;

предоставление пользователям прав доступа к объектам доступа информационной системы, основываясь на задачах, решаемых пользователями в информационной системе и взаимодействующими с ней информационными системами.

Временная учетная запись может быть заведена для пользователя на ограниченный срок для выполнения задач, требующих расширенных полномочий, или для проведения настройки, тестирования информационной системы, для организации гостевого доступа (посетителям, сотрудникам сторонних организаций, стажерам и иным пользователям с временным доступом к информационной системе).

Правила и процедуры управления учетными записями пользователей регламентируются в организационно-распорядительных документах оператора по защите информации.

Требования к усилению УПД.1:

1) оператором должны использоваться автоматизированные средства поддержки управления учетными записями пользователей;

2) в информационной системе должно осуществляться автоматическое блокирование временных учетных записей пользователей по окончании установленного периода времени для их использования;

3) в информационной системе должно осуществляться автоматическое блокирование неактивных (неиспользуемых) учетных записей пользователей после периода времени неиспользования:

а) более 90 дней;

б) более 45 дней;

4) в информационной системе должно осуществляться автоматическое блокирование учетных записей пользователей:

а) при превышении установленного оператором числа неуспешных попыток аутентификации пользователя;

б) при выявлении по результатам мониторинга (просмотра, анализа) журналов регистрации событий безопасности действий пользователей, которые отнесены оператором к событиям нарушения безопасности информации;

5) в информационной системе должен осуществляться автоматический контроль заведения, активации, блокирования и уничтожения учетных записей пользователей и оповещение администраторов о результатах автоматического контроля.

Содержание базовой меры УПД.1:

УПД.2 РЕАЛИЗАЦИЯ НЕОБХОДИМЫХ МЕТОДОВ УПРАВЛЕНИЯ ДОСТУПОМ (ДИСКРЕЦИОННЫЙ, МАНДАТНЫЙ, РОЛЕВОЙ ИЛИ ИНОЙ МЕТОД), ТИПОВ (ЧТЕНИЕ, ЗАПИСЬ, ВЫПОЛНЕНИЕ ИЛИ ИНОЙ ТИП) И ПРАВИЛ РАЗГРАНИЧЕНИЯ ДОСТУПА

Требования к реализации УПД.2: В информационной системе для управления доступом субъектов доступа к объектам доступа должны быть реализованы установленные оператором методы управления доступом, назначены типы доступа субъектов к объектам доступа и реализованы правила разграничения доступа субъектов доступа к объектам доступа.

Методы управления доступом реализуются в зависимости от особенностей функционирования информационной системы, с учетом угроз безопасности информации и должны включать один или комбинацию следующих методов:

дискреционный метод управления доступом, предусматривающий управление доступом субъектов доступа к объектам доступа на основе идентификационной информации субъекта и для каждого объекта доступа - списка, содержащего набор субъектов доступа (групп субъектов) и ассоциированных с ними типов доступа;

ролевой метод управления доступом, предусматривающий управление доступом субъектов доступа к объектам доступа на основе ролей субъектов доступа (совокупность действий и обязанностей, связанных с определенным видом деятельности);

мандатный метод управления доступом, предусматривающий управление доступом субъектов доступа к объектам доступа на основе сопоставления классификационных меток каждого субъекта доступа и каждого объекта доступа, отражающих классификационные уровни субъектов доступа и объектов доступа, являющиеся комбинациями иерархических и неиерархических категорий.

Типы доступа должны включать операции по чтению, записи, удалению, выполнению и иные операции, разрешенные к выполнению пользователем (группе пользователей) или запускаемому от его имени процессу при доступе к объектам доступа.

Правила разграничения доступа реализуются на основе установленных оператором списков доступа или матриц доступа и должны обеспечивать управление доступом пользователей (групп пользователей) и запускаемых от их имени процессов при входе в систему, доступе к техническим средствам, устройствам, объектам файловой системы, запускаемым и исполняемым модулям, объектам систем управления базами данных, объектам, создаваемым прикладным и специальным программным обеспечением, параметрам настройки средств защиты информации, информации о конфигурации системы защиты информации и иной информации о функционировании системы защиты информации, а также иным объектам доступа.

Правила разграничения доступа регламентируются в организационно-распорядительных документах оператора по защите информации.

Требования к усилению УПД.2:

1) в информационной системе правила разграничения доступа должны обеспечивать управление доступом субъектов при входе в информационную систему;

2) в информационной системе правила разграничения доступа должны обеспечивать управление доступом субъектов к техническим средствам, устройствам, внешним устройствам;

3) в информационной системе правила разграничения доступа должны обеспечивать управление доступом субъектов к объектам, создаваемым общесистемным (общим) программным обеспечением;

4) в информационной системе правила разграничения доступа должны обеспечивать управление доступом субъектов к объектам, создаваемым прикладным и специальным программным обеспечением.

Содержание базовой меры УПД.2:

УПД.3 УПРАВЛЕНИЕ (ФИЛЬТРАЦИЯ, МАРШРУТИЗАЦИЯ, КОНТРОЛЬ СОЕДИНЕНИЙ, ОДНОНАПРАВЛЕННАЯ ПЕРЕДАЧА И ИНЫЕ СПОСОБЫ УПРАВЛЕНИЯ) ИНФОРМАЦИОННЫМИ ПОТОКАМИ МЕЖДУ УСТРОЙСТВАМИ, СЕГМЕНТАМИ ИНФОРМАЦИОННОЙ СИСТЕМЫ, А ТАКЖЕ МЕЖДУ ИНФОРМАЦИОННЫМИ СИСТЕМАМИ

Требования к реализации УПД.3: В информационной системе должно осуществляться управление информационными потоками при передаче информации между устройствами, сегментами в рамках информационной системы, включающее:

фильтрацию информационных потоков в соответствии с правилами управления потоками, установленными оператором;

разрешение передачи информации в информационной системе только по маршруту, установленному оператором;

изменение (перенаправление) маршрута передачи информации в случаях, установленных оператором;

запись во временное хранилище информации для анализа и принятия решения о возможности ее дальнейшей передачи в случаях, установленных оператором.

Управление информационными потоками должно обеспечивать разрешенный (установленный оператором) маршрут прохождения информации между пользователями, устройствами, сегментами в рамках информационной системы, а также между информационными системами или при взаимодействии с сетью Интернет (или другими информационно-телекоммуникационными сетями международного информационного обмена) на основе правил управления информационными потоками, включающих контроль конфигурации информационной системы, источника и получателя передаваемой информации, структуры передаваемой информации, характеристик информационных потоков и (или) канала связи (без анализа содержания информации). Управление информационными потоками должно блокировать передачу защищаемой информации через сеть Интернет (или другие информационно-телекоммуникационные сети международного информационного обмена) по незащищенным линиям связи, сетевые запросы и трафик, несанкционированно исходящие из информационной системы и (или) входящие в информационную систему.

Правила и процедуры управления информационными потоками регламентируются в организационно-распорядительных документах оператора по защите информации.

Требования к усилению УПД.3:

1) в информационной системе должно обеспечиваться управление информационными потоками на основе атрибутов (меток) безопасности, связанных с передаваемой информацией, источниками и получателями информации;

2) в информационной системе должно обеспечиваться динамическое управление информационными потоками, запрещающее и (или) разрешающее передачу информации на основе анализа изменения текущего состояния информационной системы или условий ее функционирования;

3) в информационной системе должен исключаться обход правил управления информационными потоками за счет преобразования передаваемой информации;

4) в информационной системе должен исключаться обход правил управления информационными потоками за счет встраивания одних данных в другие данные информационного потока;

5) в информационной системе должен обеспечиваться контроль соединений между техническими средствами (устройствами), используемыми для организации информационных потоков;

6) в информационной системе при передаче информации между сегментами информационной системы и (или) информационными системами разных классов защищенности должна обеспечиваться однонаправленная передача информации с использованием аппаратных средств;

7) в информационной системе должно обеспечиваться управление информационными потоками на основе структуры передаваемых данных (текст, таблицы, видео, аудиоинформация);

8) в информационной системе должно обеспечиваться управление информационными потоками на основе используемых сетевых протоколов;

9) в информационной системе должно обеспечиваться управление информационными потоками на основе типов (расширений) файлов и (или) имен файлов;

10) в информационной системе должна обеспечиваться возможность запрета, разрешения и изменения маршрута передачи информации только администраторами;

11) в информационной системе должно обеспечиваться разделение информационных потоков, содержащих различные виды (категории) информации, а также отделение информации управления от пользовательской информации;

12) в информационной системе должна обеспечиваться возможность автоматического блокирования передачи информации при выявлении в передаваемой информации вредоносных компьютерных программ;

13) в информационной системе должно осуществляться управление информационными потоками при передаче информации между информационными системами;

14) в информационной системе должна обеспечиваться возможность фильтрации информационных потоков на уровне прикладного программного обеспечения (приложений);

15) в информационной системе должна осуществляться накопление статистических данных, проверка и фильтрация сетевых пакетов по их содержимому (технология DPI);

16) наделение трафика конкретными параметрами (в частности включение уведомлений пользователей, исключение или замена элементов трафика) в зависимости от получателя информации.

Содержание базовой меры УПД.3:

УПД.4 РАЗДЕЛЕНИЕ ПОЛНОМОЧИЙ (РОЛЕЙ) ПОЛЬЗОВАТЕЛЕЙ, АДМИНИСТРАТОРОВ И ЛИЦ, ОБЕСПЕЧИВАЮЩИХ ФУНКЦИОНИРОВАНИЕ ИНФОРМАЦИОННОЙ СИСТЕМЫ

Требования к реализации УПД.4: Оператором должно быть обеспечено разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы, в соответствии с их должностными обязанностями (функциями), фиксирование в организационно-распорядительных документах по защите информации (документирование) полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы, и санкционирование доступа к объектам доступа в соответствии с разделением полномочий (ролей).

Доступ к объектам доступа с учетом разделения полномочий (ролей) обеспечивается в соответствии с УПД.2.

Требования к усилению УПД.4:

1) оператором должно быть обеспечено выполнение каждой роли по обработке информации, администрированию информационной системы, ее системы защиты информации, контролю (мониторингу) за обеспечением уровня защищенности информации, обеспечению функционирования информационной системы отдельным должностным лицом;

2) оператором должно быть обеспечено исключение наделения одного должностного лица полномочиями (ролью) по обработке информации и полномочиями (ролью) по администрированию информационной системы и (или) ее системы защиты информации, контролю (мониторингу) за обеспечением уровня защищенности информации, обеспечению функционирования информационной системы;

3) оператором должно быть обеспечено исключение наделения одного должностного лица полномочиями (ролью) по контролю (мониторингу) за обеспечением уровня защищенности информации и полномочиями (ролью) по администрированию информационной системы и (или) ее системы защиты информации и обеспечению функционирования информационной системы;

4) оператором должно быть обеспечено исключение наделения одного должностного лица полномочиями (ролью) по администрированию системы защиты информации информационной системы и полномочиями (ролью) по обеспечению функционирования информационной системы;

5) оператором должен быть определен администратор, имеющий права по передаче полномочий по администрированию информационной системы и системы защиты информации другим лицам и осуществляющий контроль за использованием переданных полномочий (супервизор).

Содержание базовой меры УПД.4:

УПД.5 НАЗНАЧЕНИЕ МИНИМАЛЬНО НЕОБХОДИМЫХ ПРАВ И ПРИВИЛЕГИЙ ПОЛЬЗОВАТЕЛЯМ, АДМИНИСТРАТОРАМ И ЛИЦАМ, ОБЕСПЕЧИВАЮЩИМ ФУНКЦИОНИРОВАНИЕ ИНФОРМАЦИОННОЙ СИСТЕМЫ

Требования к реализации УПД.5: Оператором должно быть обеспечено назначение прав и привилегий пользователям и запускаемым от их имени процессам, администраторам и лицам, обеспечивающим функционирование информационной системы, минимально необходимых для выполнения ими своих должностных обязанностей (функций), и санкционирование доступа к объектам доступа в соответствии с минимально необходимыми правами и привилегиями.

Оператором должны быть однозначно определены и зафиксированы в организационно-распорядительных документах по защите информации (задокументированы) роли и (или) должностные обязанности (функции), также объекты доступа, в отношении которых установлен наименьший уровень привилегий. Доступ к объектам доступа с учетом минимально необходимых прав и привилегий обеспечивается в соответствии с УПД.2.

Требования к усилению УПД.5:

1) оператором должно быть обеспечено предоставление прав и привилегий по доступу к функциям безопасности (параметрам настройки) средств защиты информации исключительно администратору, наделенному полномочиями по администрированию системы защиты информации (администратору безопасности);

2) запрет предоставления расширенных прав и привилегий внешним пользователям (пользователям, не являющимся внутренними пользователями).

Содержание базовой меры УПД.5:

УПД.6 ОГРАНИЧЕНИЕ НЕУСПЕШНЫХ ПОПЫТОК ВХОДА В ИНФОРМАЦИОННУЮ СИСТЕМУ (ДОСТУПА К ИНФОРМАЦИОННОЙ СИСТЕМЕ)

Требования к реализации УПД.6: В информационной системе должно быть установлено и зафиксировано в организационно-распорядительных документах оператора по защите информации (задокументировано) ограничение количества неуспешных попыток входа в информационную систему (доступа к информационной системе) за период времени, установленный оператором, а также обеспечено блокирование устройства, с которого предпринимаются попытки доступа, и (или) учетной записи пользователя при превышении пользователем ограничения количества неуспешных попыток входа в информационную систему (доступа к информационной системе).

Ограничение количества неуспешных попыток входа в информационную систему (доступа к информационной системе) должно обеспечиваться в соответствии с ИАФ.4.

Требования к усилению УПД.6:

1) в информационной системе обеспечивается автоматическое блокирование устройства, с которого предпринимаются попытки доступа, и (или) учетной записи пользователя при превышении пользователем ограничения количества неуспешных попыток входа в информационную систему (доступа к информационной системе) за установленный период времени с возможностью разблокирования только администратором или иным лицом, имеющим соответствующие полномочия (роль);

2) в информационной системе обеспечивается автоматическое удаление информации с мобильного технического средства, входящего в состав информационной системы, при превышении допустимого числа неуспешных попыток входа в информационную систему (доступа к информационной системе) за установленный период времени, осуществляемых с мобильного устройства;

3) в информационной системе обеспечивается противодействие автоматизированному подбору паролей с использованием однократных кодов, требующих визуального распознавания (в том числе с использованием технологии CAPTCHA).

Содержание базовой меры УПД.6:

УПД.7 ПРЕДУПРЕЖДЕНИЕ ПОЛЬЗОВАТЕЛЯ ПРИ ЕГО ВХОДЕ В ИНФОРМАЦИОННУЮ СИСТЕМУ О ТОМ, ЧТО В ИНФОРМАЦИОННОЙ СИСТЕМЕ РЕАЛИЗОВАНЫ МЕРЫ ЗАЩИТЫ ИНФОРМАЦИИ, И О НЕОБХОДИМОСТИ СОБЛЮДЕНИЯ ИМ УСТАНОВЛЕННЫХ ОПЕРАТОРОМ ПРАВИЛ ОБРАБОТКИ ИНФОРМАЦИИ

Требования к реализации УПД.7: В информационной системе должно быть обеспечено предупреждение пользователя в виде сообщения ("окна") при его входе в информационную систему (до процесса аутентификации) о том, что в информационной системе реализованы меры защиты информации, а также о том, что при работе в информационной системе пользователем должны быть соблюдены установленные оператором правила и ограничения на работу с информацией.

Вход в информационную систему и предоставление пользователю возможности работы в информационной системе осуществляются только после подтверждения пользователем ознакомления с предупреждением.

Требования к усилению УПД.7:

Не установлены.

Содержание базовой меры УПД.7:

УПД.8 ОПОВЕЩЕНИЕ ПОЛЬЗОВАТЕЛЯ ПОСЛЕ УСПЕШНОГО ВХОДА В ИНФОРМАЦИОННУЮ СИСТЕМУ О ЕГО ПРЕДЫДУЩЕМ ВХОДЕ В ИНФОРМАЦИОННУЮ СИСТЕМУ

Требования к реализации УПД.8: В информационной системе должно быть обеспечено после успешного входа пользователя в информационную систему (завершения процесса аутентификации) оповещение этого пользователя о дате и времени предыдущего входа в информационную систему от имени этого пользователя.

Требования к усилению УПД.8:

1) в информационной системе обеспечивается оповещение пользователя после успешного входа в информационную систему о количестве неуспешных попыток входа в информационную систему (доступа к информационной системе), зафиксированных с момента последнего успешного входа в информационную систему;

2) в информационной системе обеспечивается оповещение пользователя после успешного входа в информационную систему о количестве успешных и (или) неуспешных попыток входа в информационную систему (доступа к информационной системе), зафиксированных за период времени не менее 7 дней;

3) в информационной системе обеспечивается оповещение пользователя после успешного входа в информационную систему об изменении сведений, относящихся к учетной записи пользователя (в том числе изменении прав доступа), произведенных за период времени не менее чем с момента предыдущего успешного входа в информационную систему.

Содержание базовой меры УПД.8:

УПД.9 ОГРАНИЧЕНИЕ ЧИСЛА ПАРАЛЛЕЛЬНЫХ СЕАНСОВ ДОСТУПА ДЛЯ КАЖДОЙ УЧЕТНОЙ ЗАПИСИ ПОЛЬЗОВАТЕЛЯ ИНФОРМАЦИОННОЙ СИСТЕМЫ

Требования к реализации УПД.9: В информационной системе должно обеспечиваться ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы.

В информационной системе должна быть предусмотрена возможность задавать ограничения на число параллельных (одновременных) сеансов (сессий), основываясь на идентификаторах пользователей и (или) принадлежности к определенной роли.

Значение числа параллельных сеансов доступа может быть задано для информационной системы в целом, для отдельных сегментов информационной системы, для групп пользователей, отдельных пользователей или их комбинаций.

Ограничения числа параллельных сеансов доступа регламентируются в организационно-распорядительных документах оператора по защите информации.

Требования к усилению УПД.9:

1) в информационной системе для привилегированных учетных записей (администраторов) количество параллельных (одновременных) сеансов (сессий) от их имени с разных устройств (средств вычислительной техники) не должно превышать следующих значений:

а) не более 2;

б) не более 1;

2) в информационной системе в случае попытки входа под учетной записью пользователя или администратора, для которых достигнуто максимальное значение допустимых параллельных сеансов, при успешной аутентификации пользователя или администратора должно выдаваться сообщение о превышении числа параллельных сеансов доступа, месте (местах) их предыдущего входа (предыдущих входов) с активными сессиями и предложением отключения этой сессии (этих сессий);

3) в информационной системе должны быть предусмотрены программно-технические средства, позволяющие контролировать и отображать администратору число активных параллельных (одновременных) сеансов (сессий) для каждой учетной записи пользователей;

4) в информационной системе должны быть предусмотрены программно-технические средства, позволяющие оповещать администратора о попытках превышения числа установленных допустимых активных параллельных (одновременных) сеансов (сессий) для каждой учетной записи пользователя.

Содержание базовой меры УПД.9:

УПД.10 БЛОКИРОВАНИЕ СЕАНСА ДОСТУПА В ИНФОРМАЦИОННУЮ СИСТЕМУ ПОСЛЕ УСТАНОВЛЕННОГО ВРЕМЕНИ БЕЗДЕЙСТВИЯ (НЕАКТИВНОСТИ) ПОЛЬЗОВАТЕЛЯ ИЛИ ПО ЕГО ЗАПРОСУ

Требования к реализации УПД.10: В информационной системе должно обеспечиваться блокирование сеанса доступа пользователя после установленного оператором времени его бездействия (неактивности) в информационной системе или по запросу пользователя.

Блокирование сеанса доступа пользователя в информационную систему обеспечивает временное приостановление работы пользователя со средством вычислительной техники, с которого осуществляется доступ к информационной системе (без выхода из информационной системы).

Для заблокированного сеанса должно осуществляться блокирование любых действий по доступу к информации и устройствам отображения, кроме необходимых для разблокирования сеанса.

Блокирование сеанса доступа пользователя в информационную систему должно сохраняться до прохождения им повторной идентификации и аутентификации в соответствии с ИАФ.1.

Правила и процедуры блокирования сеансов доступа регламентируются в организационно-распорядительных документах оператора по защите информации.

Требования к усилению УПД.10:

1) в информационной системе обеспечивается блокирование сеанса доступа пользователя после времени бездействия (неактивности) пользователя:

а) до 15 минут;

б) до 5 минут;

2) в информационной системе на устройстве отображения (мониторе) после блокировки сеанса не должна отображаться информация сеанса пользователя (в том числе использование "хранителя экрана", гашение экрана или иные способы);

3) в информационной системе обеспечивается завершение сеанса пользователя (выхода из системы) после превышения установленного оператором времени бездействия (неактивности) пользователя.

Содержание базовой меры УПД.10:

УПД.11 РАЗРЕШЕНИЕ (ЗАПРЕТ) ДЕЙСТВИЙ ПОЛЬЗОВАТЕЛЕЙ, РАЗРЕШЕННЫХ ДО ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ

Требования к реализации УПД.11: Оператором должен быть установлен перечень действий пользователей, разрешенных до прохождения ими процедур идентификации и аутентификации, и запрет действий пользователей, не включенных в перечень разрешенных действий, до прохождения ими процедур идентификации и аутентификации.

Разрешение действий пользователей до прохождения ими процедур идентификации и аутентификации осуществляется, в том числе, при предоставлении пользователям доступа к общедоступной информации (веб-сайтам, порталам, иным общедоступным ресурсам). Также администратору разрешаются действия в обход установленных процедур идентификации и аутентификации, необходимые только для восстановления функционирования информационной системы в случае сбоев в работе или выходе из строя отдельных технических средств (устройств).

Правила и процедуры определения действий пользователей, разрешенных до прохождения ими процедур идентификации и аутентификации, регламентируются в организационно-распорядительных документах оператора по защите информации.

Требования к усилению УПД.11:

Не установлены.

Содержание базовой меры УПД.11:

УПД.12 ПОДДЕРЖКА И СОХРАНЕНИЕ АТРИБУТОВ БЕЗОПАСНОСТИ (МЕТОК БЕЗОПАСНОСТИ), СВЯЗАННЫХ С ИНФОРМАЦИЕЙ В ПРОЦЕССЕ ЕЕ ХРАНЕНИЯ И ОБРАБОТКИ

Требования к реализации УПД.12: В информационной системе должны обеспечиваться поддержка (обновление, назначение, изменение) и сохранение атрибутов безопасности (меток безопасности), установленных оператором, связанных с информацией в процессе ее хранения и обработки.

Атрибуты безопасности (метки безопасности) представляют собой свойства (характеристики) объектов и (или) субъектов доступа, которые используются для контроля доступа субъектов к объектам доступа и управления информационными потоками.

Правила и процедуры поддержки и сохранения атрибутов безопасности регламентируются в организационно-распорядительных документах оператора по защите информации.

Требования к усилению УПД.12:

1) в информационной системе обеспечивается динамическое изменение атрибутов безопасности в соответствии с организационно-распорядительными документами по защите информации оператора в зависимости от процесса обработки информации (формирование, объединение, разделение информационных ресурсов);

2) в информационной системе допускается изменение атрибутов безопасности только авторизованными пользователям или процессами;

3) в информационной системе обеспечивается автоматизированный контроль связи атрибутов безопасности с информацией;

4) в информационной системе обеспечивается возможность отображения пользователям в удобочитаемом виде атрибутов безопасности (меток безопасности) для каждого из объектов доступа (отображение атрибутов безопасности на экране монитора и (или) при выводе информации на печать на принтере).

Содержание базовой меры УПД.12:

УПД.13 РЕАЛИЗАЦИЯ ЗАЩИЩЕННОГО УДАЛЕННОГО ДОСТУПА СУБЪЕКТОВ ДОСТУПА К ОБЪЕКТАМ ДОСТУПА ЧЕРЕЗ ВНЕШНИЕ ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫЕ СЕТИ

Требования к реализации УПД.13: Оператором должна обеспечиваться защита информации при доступе пользователей (процессов запускаемых от имени пользователей) и (или) иных субъектов доступа к объектам доступа информационной системы через информационно-телекоммуникационные сети, в том числе сети связи общего пользования, с использованием стационарных и (или) мобильных технических средств (защита удаленного доступа).

Защита удаленного доступа должна обеспечиваться при всех видах доступа (беспроводной, проводной (коммутируемый), широкополосный и иные виды доступа) и включает:

установление (в том числе документальное) видов доступа, разрешенных для удаленного доступа к объектам доступа информационной системы;

ограничение на использование удаленного доступа в соответствии с задачами (функциями) информационной системы, для решения которых такой доступ необходим, и предоставление удаленного доступа для каждого разрешенного вида удаленного доступа в соответствии с УПД.2;

предоставление удаленного доступа только тем пользователям, которым он необходим для выполнения установленных должностных обязанностей (функций);

мониторинг и контроль удаленного доступа на предмет выявления несанкционированного удаленного доступа к объектам доступа информационной системы;

контроль удаленного доступа пользователей (процессов запускаемых от имени пользователей) к объектам доступа информационной системы до начала информационного взаимодействия с информационной системой (передачи защищаемой информации).

Правила и процедуры применения удаленного доступа регламентируются в организационно-распорядительных документах оператора по защите информации.

Требования к усилению УПД.13:

1) в информационной системе для мониторинга и контроля удаленного доступа должны применяться автоматизированные средства (дополнительные программные или программно-технические средства);

2) в информационной системе используется ограниченное (минимально необходимое) количество точек подключения к информационной системе при организации удаленного доступа к объектам доступа информационной системы;

3) в информационной системе исключается удаленный доступ от имени привилегированных учетных записей (администраторов) для администрирования информационной системы и ее системы защиты информации;

4) в информационной системе при удаленном доступе обеспечивается применение в соответствии с законодательством Российской Федерации криптографических методов защиты информации;

5) в информационной системе обеспечивается мониторинг и контроль удаленного доступа на предмет выявления установления несанкционированного соединения технических средств (устройств) с информационной системой;

6) в информационной системе должен обеспечиваться запрет удаленного доступа с использованием сетевых технологий и протоколов, определенных оператором по результатам анализа защищенности в соответствии с АНЗ.1 как небезопасных.

Содержание базовой меры УПД.13:

УПД.14 РЕГЛАМЕНТАЦИЯ И КОНТРОЛЬ ИСПОЛЬЗОВАНИЯ В ИНФОРМАЦИОННОЙ СИСТЕМЕ ТЕХНОЛОГИЙ БЕСПРОВОДНОГО ДОСТУПА

Требования к реализации УПД.14: Оператором должны обеспечиваться регламентация и контроль использования в информационной системе технологий беспроводного доступа пользователей к объектам доступа (стандарты коротковолновой радиосвязи, спутниковой и пакетной радиосвязи), направленные на защиту информации в информационной системе.

Регламентация и контроль использования технологий беспроводного доступа должны включать:

ограничение на использование технологий беспроводного доступа (беспроводной передачи данных, беспроводного подключения оборудования к сети, беспроводного подключения устройств к средству вычислительной техники) в соответствии с задачами (функциями) информационной системы, для решения которых такой доступ необходим, и предоставление беспроводного доступа в соответствии с УПД.2;

предоставление технологий беспроводного доступа только тем пользователям, которым он необходим для выполнения установленных должностных обязанностей (функций);

мониторинг и контроль применения технологий беспроводного доступа на предмет выявления несанкционированного использования технологий беспроводного доступа к объектам доступа информационной системы;

контроль беспроводного доступа пользователей (процессов запускаемых от имени пользователей) к объектам доступа информационной системы до начала информационного взаимодействия с информационной системой.

Правила и процедуры применения технологий беспроводного доступа регламентируются в организационно-распорядительных документах оператора по защите информации.

Требования к усилению УПД.14:

1) в информационной системе обеспечивается аутентификация подключаемых с использованием технологий беспроводного доступа устройств в соответствии с ИАФ.2;

2) в информационной системе обеспечивается мониторинг точек беспроводного подключения устройств к информационной системе на предмет выявления несанкционированного беспроводного подключения устройств;

3) в информационной системе исключается возможность изменения пользователем точек беспроводного доступа информационной системы;

4) оператором одолжен быть предусмотрен запрет беспроводного доступа к информационной системе из-за пределов контролируемой зоны;

5) в информационной системе должен быть запрещен беспроводный доступ от имени привилегированных учетных записей (администраторов) для администрирования информационной системы и ее системы защиты информации;

6) в информационной системе исключается возможность изменения пользователем устройств и настроек беспроводного доступа;

7) оператором обеспечивается определение местонахождения несанкционированного беспроводного устройства;

8) оператором обеспечивается блокирование функционирования несанкционированного беспроводного устройства.

Содержание базовой меры УПД.14:

УПД.15 РЕГЛАМЕНТАЦИЯ И КОНТРОЛЬ ИСПОЛЬЗОВАНИЯ В ИНФОРМАЦИОННОЙ СИСТЕМЕ МОБИЛЬНЫХ ТЕХНИЧЕСКИХ СРЕДСТВ

Требования к реализации УПД.15: Оператором должны обеспечиваться регламентация и контроль использования в информационной системе мобильных технических средств, направленные на защиту информации в информационной системе.

В качестве мобильных технических средств рассматриваются съемные машинные носители информации (флэш-накопители, внешние накопители на жестких дисках и иные устройства), портативные вычислительные устройства и устройства связи с возможностью обработки информации (ноутбуки, нетбуки, планшеты, сотовые телефоны, цифровые камеры, звукозаписывающие устройства и иные устройства).

Регламентация и контроль использования мобильных технических средств должны включать:

установление (в том числе документальное) видов доступа (беспроводной, проводной (коммутируемый), широкополосный и иные виды доступа), разрешенных для доступа к объектам доступа информационной системы с использованием мобильных технических средств, входящих в состав информационной системы;

использование в составе информационной системы для доступа к объектам доступа мобильных технических средств (служебных мобильных технических средств), в которых реализованы меры защиты информации в соответствии с ЗИС.30;

ограничение на использование мобильных технических средств в соответствии с задачами (функциями) информационной системы, для решения которых использование таких средств необходимо, и предоставление доступа с использованием мобильных технических средств в соответствии с УПД.2;

мониторинг и контроль применения мобильных технических средств на предмет выявления несанкционированного использования мобильных технических средств для доступа к объектам доступа информационной системы;

запрет возможности запуска без команды пользователя в информационной системе программного обеспечения (программного кода), используемого для взаимодействия с мобильным техническим средством.

Правила и процедуры применения мобильных технических средств, включая процедуры выдачи и возврата мобильных технических средств, а также их передачи на техническое обслуживание (процедура должна обеспечивать удаление или недоступность информации), регламентируются в организационно-распорядительных документах оператора по защите информации.

Требования к усилению УПД.15:

1) оператором обеспечивается запрет использования в информационной системе, не входящих в ее состав (находящихся в личном использовании) съемных машинных носителей информации;

2) оператором обеспечивается запрет использования в информационной системе съемных машинных носителей информации, для которых не определен владелец (пользователь, организация, ответственные за принятие мер защиты информации);

3) оператором обеспечивается (в соответствии с процедурами, зафиксированными в организационно-распорядительных документах) очистка машинного носителя информации мобильного технического средства, переустановка программного обеспечения и выполнение иных мер по защите информации мобильных технических средств, после их использования за пределами контролируемой зоны;

4) оператором обеспечивается предоставление доступа с использованием мобильных технических средств к объектам доступа информационной системы только тем пользователям, которым он необходим для выполнения установленных должностных обязанностей (функций);

5) в информационной системе обеспечивается запрет использования мобильных технических средств, на которые в информационной системе может быть осуществлена запись информации (перезаписываемых съемных машинных носителей информации).

Содержание базовой меры УПД.15:

УПД.16 УПРАВЛЕНИЕ ВЗАИМОДЕЙСТВИЕМ С ИНФОРМАЦИОННЫМИ СИСТЕМАМИ СТОРОННИХ ОРГАНИЗАЦИЙ (ВНЕШНИЕ ИНФОРМАЦИОННЫЕ СИСТЕМЫ)

Требования к реализации УПД.16: Оператором должно быть обеспечено управление взаимодействием с внешними информационными системами, включающими информационные системы и вычислительные ресурсы (мощности) уполномоченных лиц, информационные системы, с которыми установлено информационное взаимодействие на основании заключенного договора (соглашения), а также с иными информационными системами, информационное взаимодействие с которыми необходимо для функционирования информационной системы.

Управление взаимодействием с внешними информационными системами должно включать:

предоставление доступа к информационной системе только авторизованным (уполномоченным) пользователям в соответствии с УПД.2;

определение типов прикладного программного обеспечения информационной системы, к которым разрешен доступ авторизованным (уполномоченным) пользователям из внешних информационных систем;

определение системных учетных записей, используемых в рамках данного взаимодействия;

определение порядка предоставления доступа к информационной системе авторизованными (уполномоченным) пользователями из внешних информационных систем;

определение порядка обработки, хранения и передачи информации с использованием внешних информационных систем.

Управление взаимодействием с внешними информационными системами в целях межведомственного электронного взаимодействия, исполнения государственных и муниципальных функций, формирования базовых государственных информационных ресурсов осуществляется в том числе с использованием единой системы идентификации и аутентификации, созданной в соответствии с постановлением Правительства Российской Федерации от 28 ноября 2011 г. N 977.

Правила и процедуры управления взаимодействием с внешними информационными системами регламентируются в организационно-распорядительных документах оператора по защите информации.

Требования к усилению УПД.16:

1) оператор предоставляет доступ к информационной системе авторизованным (уполномоченным) пользователям внешних информационных систем или разрешает обработку, хранение и передачу информации с использованием внешней информационной системы при выполнении следующих условий:

а) при наличии договора (соглашения) об информационном взаимодействии с оператором (обладателем, владельцем) внешней информационной системы;

б) при наличии подтверждения выполнения во внешней информационной системе предъявленных к ней требований о защите информации (наличие аттестата соответствия требованиям по безопасности информации или иного подтверждения).

Содержание базовой меры УПД.16:

УПД.17 ОБЕСПЕЧЕНИЕ ДОВЕРЕННОЙ ЗАГРУЗКИ СРЕДСТВ ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ

Требования к реализации УПД.17: В информационной системе должно обеспечиваться исключение несанкционированного доступа к программным и (или) техническим ресурсам средства вычислительной техники информационной системы на этапе его загрузки.

Доверенная загрузка должна обеспечивать:

блокирование попыток несанкционированной загрузки нештатной операционной системы (среды) или недоступность информационных ресурсов для чтения или модификации в случае загрузки нештатной операционной системы;

контроль доступа пользователей к процессу загрузки операционной системы;

контроль целостности программного обеспечения и аппаратных компонентов средств вычислительной техники.

В информационной системе применяется доверенная загрузка на разных уровнях (уровня базовой системы ввода-вывода, уровня платы расширения и уровня загрузочной записи).

Правила и процедуры обеспечения доверенной загрузки средств вычислительной техники регламентируются в организационно-распорядительных документах оператора по защите информации.

Требования к усилению УПД.17:

1) в информационной системе должна осуществляться доверенная загрузка уровня базовой системы ввода-вывода или уровня платы расширения;

2) в информационной системе должна осуществляться доверенная загрузка уровня базовой системы ввода-вывода или уровня платы расширения, реализованные на основе программно-аппаратного модуля;

3) в информационной системе должна осуществляться доверенная загрузка программного обеспечения телекоммуникационного оборудования;

Содержание базовой меры УПД.17: