3.3. ОГРАНИЧЕНИЕ ПРОГРАММНОЙ СРЕДЫ (ОПС)
3.3. ОГРАНИЧЕНИЕ ПРОГРАММНОЙ СРЕДЫ (ОПС) 
ОПС.1 УПРАВЛЕНИЕ ЗАПУСКОМ (ОБРАЩЕНИЯМИ) КОМПОНЕНТОВ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, В ТОМ ЧИСЛЕ ОПРЕДЕЛЕНИЕ ЗАПУСКАЕМЫХ КОМПОНЕНТОВ, НАСТРОЙКА ПАРАМЕТРОВ ЗАПУСКА КОМПОНЕНТОВ, КОНТРОЛЬ ЗА ЗАПУСКОМ КОМПОНЕНТОВ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
Требования к реализации ОПС.1: Оператором должны быть реализованы следующие функции по управлению запуском (обращениями) компонентов программного обеспечения:
определение перечня (списка) компонентов программного обеспечения (файлов, объектов баз данных, хранимых процедур и иных компонентов), запускаемых автоматически при загрузке операционной системы средства вычислительной техники;
разрешение запуска компонентов программного обеспечения, включенных в перечень (список) программного обеспечения, запускаемого автоматически при загрузке операционной системы средства вычислительной техники;
ограничение запуска компонентов программного обеспечения от имени администраторов безопасности (например, разрешение такого запуска только для программного обеспечения средств защиты информации: сенсоры систем обнаружения вторжений, агенты систем мониторинга событий информационной безопасности, средства антивирусной защиты);
настройка параметров запуска компонентов программного обеспечения от имени учетной записи администратора безопасности таким образом, чтобы текущий пользователь средства вычислительной техники не мог получить через данные компоненты доступ к объектам доступа, на доступ к которым у него нет прав в соответствии с УПД.2;
контроль за запуском компонентов программного обеспечения, обеспечивающий выявление компонентов программного обеспечения, не включенных в перечень (список) компонентов, запускаемых автоматически при загрузке операционной системы средства вычислительной техники.
Правила и процедуры управления запуском программного обеспечения (в том числе списки программного обеспечения, ограничения запуска, параметры запуска компонентов программного обеспечения) регламентируются в организационно-распорядительных документах оператора по защите информации.
Требования к усилению ОПС.1:
1) в информационной системе обеспечивается разрешение запуска только тех программных компонентов, которые явно разрешены администратором безопасности;
2) в информационной системе обеспечивается использование средств автоматизированного контроля перечня (списка) компонентов программного обеспечения, запускаемого автоматически при загрузке операционной системы средства вычислительной техники;
3) в информационной системе обеспечивается использование автоматизированных механизмов управления запуском (обращениями) компонентов программного обеспечения;
4) в информационной системе обеспечивается управление удаленным запуском компонентов программного обеспечения (например, запрет запуска компонентов программного обеспечения на одном средстве вычислительной техники командой с другого средства вычислительной техники);
5) в информационной системе обеспечивается управление временем запуска и завершения работы компонентов программного обеспечения (например, ограничение запуска только в течение рабочего дня);
6) в информационной системе обеспечивается контроль целостности (состояния) запускаемых компонентов программного обеспечения (файлов (в том числе конфигурационных), объектов баз данных, подключаемых библиотек и др.) в соответствии с ОЦЛ.1;
7) в информационной системе обеспечивается контроль обновления запускаемых компонентов программного обеспечения;
8) в информационной системе обеспечивается регистрация событий, связанных с контролем состояния и обновлением запускаемых компонентов программного обеспечения;
9) в информационной системе обеспечивается запрет (блокирование) запуска определенных оператором компонентов программного обеспечения, не прошедших аутентификацию в соответствии с ИАФ.7.
Содержание базовой меры ОПС.1:
|
Мера защиты информации
|
Класс защищенности информационной системы
|
|||
|
4
|
3
|
2
|
1
|
|
|
ОПС.1
|
+
|
|||
|
Усиление ОПС.1
|
1, 2, 3
|
|||
ОПС.2 УПРАВЛЕНИЕ УСТАНОВКОЙ (ИНСТАЛЛЯЦИЕЙ) КОМПОНЕНТОВ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, В ТОМ ЧИСЛЕ ОПРЕДЕЛЕНИЕ КОМПОНЕНТОВ, ПОДЛЕЖАЩИХ УСТАНОВКЕ, НАСТРОЙКА ПАРАМЕТРОВ УСТАНОВКИ КОМПОНЕНТОВ, КОНТРОЛЬ ЗА УСТАНОВКОЙ КОМПОНЕНТОВ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
Требования к реализации ОПС.2: Оператором должны быть реализованы следующие функции по управлению установкой (инсталляцией) компонентов программного обеспечения информационной системы:
определение компонентов программного обеспечения (состава и конфигурации), подлежащих установке в информационной системе после загрузки операционной системы;
настройка параметров установки компонентов программного обеспечения, обеспечивающая исключение установки (если осуществимо) компонентов программного обеспечения, использование которых не требуется для реализации информационной технологии информационной системы (например, при запуске установщика можно выбрать или не выбрать определенные опции и, тем самым, разрешить или запретить установку соответствующих компонентов программного обеспечения);
выбор конфигурации устанавливаемых компонентов программного обеспечения (в том числе конфигурации, предусматривающие включение в домен, или невключение в домен);
контроль за установкой компонентов программного обеспечения (состав компонентов, параметры установки, конфигурация компонентов);
определение и применение параметров настройки компонентов программного обеспечения, включая программные компоненты средств защиты информации, обеспечивающих реализацию мер защиты информации, а также устранение возможных уязвимостей информационной системы, приводящих к возникновению угроз безопасности информации.
Правила и процедуры управления установкой (инсталляцией) компонентов программного обеспечения (в том числе управления составом и конфигурацией подлежащих установке компонентов программного обеспечения, параметрами установки, параметрами настройки компонентов программного обеспечения) регламентируются в организационно-распорядительных документах оператора по защите информации с учетом эксплуатационной документации.
Требования к усилению ОПС.2:
1) в информационной системе должно обеспечиваться использование средств автоматизации для применения и контроля параметров настройки компонентов программного обеспечения, влияющих на безопасность информации;
2) в информационной системе должны быть реализованы автоматизированные механизмы реагирования на несанкционированное изменение параметров настройки компонентов программного обеспечения, влияющих на безопасность информации, предусматривающие блокирование доступа к средству вычислительной техники и (или) информации, автоматическое восстановление параметров настройки или другие действия, препятствующие несанкционированному доступу к информации, который может быть получен вследствие несанкционированного изменения параметров настройки;
3) в информационной системе должно обеспечиваться использование средств автоматизации для инсталляции и централизованного управления процессами инсталляции, в том числе с применением пакетов соответствующих дистрибутивов программного обеспечения.
Содержание базовой меры ОПС.2:
|
Мера защиты информации
|
Класс защищенности информационной системы
|
|||
|
4
|
3
|
2
|
1
|
|
|
ОПС.2
|
+
|
+
|
||
|
Усиление ОПС.2
|
1
|
|||
ОПС.3 УСТАНОВКА (ИНСТАЛЛЯЦИЯ) ТОЛЬКО РАЗРЕШЕННОГО К ИСПОЛЬЗОВАНИЮ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ И (ИЛИ) ЕГО КОМПОНЕНТОВ
Требования к реализации ОПС.3: Оператором должна быть обеспечена установка (инсталляция) только разрешенного к использованию в информационной системе программного обеспечения и (или) его компонентов.
Установка (инсталляция) в информационной системе программного обеспечения (вида, типа, класса программного обеспечения) и (или) его компонентов осуществляется с учетом перечня программного обеспечения и (или) его компонентов, разрешенных оператором к установке ("белый список"), и (или) перечнем программного обеспечения и (или) его компонентов, запрещенных оператором к установке ("черный список"). Указанные перечни программного обеспечения и (или) его компонентов разрабатываются оператором для информационной системы в целом или для всех ее сегментов или устройств в отдельности и фиксируются в организационно-распорядительной документации оператора по защите информации (документируются).
Установка (инсталляция) в информационной системе программного обеспечения и (или) его компонентов должна осуществляться только от имени администратора в соответствии с УПД.5.
Оператором должен обеспечиваться периодический контроль установленного (инсталлированного) в информационной системе программного обеспечения на предмет соответствия его перечню программного обеспечения, разрешенному к установке в информационной системе в соответствии с АНЗ.4, а также на предмет отсутствия программного обеспечения, запрещенного оператором к установке.
Требования к усилению ОПС.3:
Не установлены.
Содержание базовой меры ОПС.3:
|
Мера защиты информации
|
Класс защищенности информационной системы
|
|||
|
4
|
3
|
2
|
1
|
|
|
ОПС.3
|
+
|
+
|
+
|
+
|
|
Усиление ОПС.3
|
||||
ОПС.4 УПРАВЛЕНИЕ ВРЕМЕННЫМИ ФАЙЛАМИ, В ТОМ ЧИСЛЕ ЗАПРЕТ, РАЗРЕШЕНИЕ, ПЕРЕНАПРАВЛЕНИЕ ЗАПИСИ, УДАЛЕНИЕ ВРЕМЕННЫХ ФАЙЛОВ
Требования к реализации ОПС.4: В информационной системе должно осуществляться управление временными файлами, в том числе запрет, разрешение, перенаправление записи, удаление временных файлов.
Управление временными файлами должно обеспечивать перехват записи временной информации в файлы на системном (загрузочном) разделе машинного носителя информации средства вычислительной техники и ее перенаправление в оперативную память и (или) в другой раздел машинного носителя информации с последующей очисткой (стиранием).
Оператором должен быть определен и зафиксирован в организационно-распорядительной документации по защите информации (задокументирован) порядок очистки (стирания) временных файлов.
Требования к усилению ОПС.4:
1) в информационной системе должны осуществляться:
а) контроль доступа к временным файлам;
б) удаление временных файлов по завершении сеанса работы с ними.
Содержание базовой меры ОПС.4:
|
Мера защиты информации
|
Класс защищенности информационной системы
|
|||
|
4
|
3
|
2
|
1
|
|
|
ОПС.4
|
||||
|
Усиление ОПС.4
|
||||
