1 |
|
2 |
3 |
4 |
5 |
|
Контроль содержания информации, передаваемой из автома- |
|
|
|
|
|
тизированной системы управления (контейнерный, основан- |
|
|
|
|
ОЦЛ.5 |
ный на свойствах объекта доступа, и контентный, основан- |
|
|
|
|
|
ный на поиске запрещенной к передаче информации с ис- |
|
|
|
|
|
пользованием сигнатур, масок и иных методов), и исключе- |
|
|
|
|
|
ние неправомерной передачи информации |
|
|
|
|
ОЦЛ.6 |
Ограничение прав пользователей по вводу информации в ав- |
|
|
+ |
|
|
томатизированную систему управления |
|
|
|
|
ОЦЛ.7 |
Контроль точности, полноты и правильности данных, вводи- |
|
+ |
+ |
|
|
мых в автоматизированную систему управления |
|
|
|
|
ОЦЛ.8 |
Контроль ошибочных действий пользователей по вводу и |
|
|
|
|
(или) передаче информации и предупреждение пользователей |
|
+ |
+ |
||
|
об ошибочных действиях |
|
|
|
|
|
X. Обеспечение доступности (ОДТ) |
|
|
|
|
|
|
|
|
|
|
ОДТ.0 |
Разработка правил и процедур (политик) обеспечения до- |
+ |
+ |
+ |
|
ступности |
|
||||
ОДТ.1 |
Использование отказоустойчивых технических средств |
|
+ |
+ |
|
|
Резервирование технических средств, программного обеспе- |
|
|
|
|
ОДТ.2 |
чения, каналов передачи информации, средств обеспечения |
|
+ |
+ |
|
|
функционирования системы |
|
|
|
|
|
Контроль безотказного |
функционирования технических |
|
|
|
ОДТ.3 |
средств, обнаружение и локализация отказов функциониро- |
|
+ |
+ |
|
вания, принятие мер по восстановлению отказавших средств |
|
||||
|
и их тестирование |
|
|
|
|
ОДТ.4 |
Периодическое резервное копирование информации на ре- |
+ |
+ |
+ |
|
зервные машинные носители информации |
|||||
|
Обеспечение возможности восстановления информации с ре- |
|
|
|
|
ОДТ.5 |
зервных машинных носителей информации (резервных ко- |
+ |
+ |
+ |
|
|
пий) в течение установленного временного интервала |
|
|
|
|
ОДТ.6 |
Кластеризация автоматизированной системы управления и |
|
|
|
|
(или) ее сегментов |
|
|
|
|
|
|
Контроль состояния и качества предоставления поставщиком |
|
|
|
|
ОДТ.7 |
телекоммуникационных |
услуг вычислительных ресурсов |
|
+ |
+ |
|
(мощностей), в том числе по передаче информации |
|
|
|
|
|
XI. Защита среды виртуализации (ЗСВ) |
|
|
|
|
|
|
|
|
|
|
ЗСВ.0 |
Разработка правил и процедур (политик) защиты среды вир- |
+ |
+ |
+ |
|
туализации |
|
||||
|
Идентификация и аутентификация субъектов доступа и объ- |
|
|
|
|
ЗСВ.1 |
ектов доступа в виртуальной инфраструктуре, в том числе |
+ |
+ |
+ |
|
|
администраторов управления средствами виртуализации |
|
|
|
|
|
Управление доступом субъектов доступа к объектам доступа |
|
|
|
|
ЗСВ.2 |
в виртуальной инфраструктуре, в том числе внутри вирту- |
+ |
+ |
+ |
|
|
альных машин |
|
|
|
|
ЗСВ.3 |
Регистрация событий безопасности в виртуальной инфра- |
+ |
+ |
+ |
|
структуре |
|
||||
|
Управление (фильтрация, маршрутизация, контроль соедине- |
|
|
|
|
ЗСВ.4 |
ния, однонаправленная передача) потоками информации |
|
+ |
+ |
|
между компонентами виртуальной инфраструктуры, а также |
|
||||
|
по периметру виртуальной инфраструктуры |
|
|
|
|
41
1 |
2 |
3 |
4 |
5 |
ЗСВ.5 |
Доверенная загрузка серверов виртуализации, виртуальной |
|
|
|
|
машины (контейнера), серверов управления виртуализацией |
|
|
|
ЗСВ.6 |
Управление перемещением виртуальных машин (контейне- |
|
+ |
+ |
|
ров) и обрабатываемых на них данных |
|
|
|
ЗСВ.7 |
Контроль целостности виртуальной инфраструктуры и ее |
|
+ |
+ |
|
конфигураций |
|
|
|
|
Резервное копирование данных, резервирование технических |
|
|
|
ЗСВ.8 |
средств, программного обеспечения виртуальной инфра- |
|
|
+ |
|
структуры, а также каналов связи внутри виртуальной ин- |
|
|
|
|
фраструктуры |
|
|
|
ЗСВ.9 |
Реализация и управление антивирусной защитой в виртуаль- |
+ |
+ |
+ |
|
ной инфраструктуре |
|
|
|
|
Разбиение виртуальной инфраструктуры на сегменты (сег- |
|
|
|
ЗСВ.10 |
ментирование виртуальной инфраструктуры) для обработки |
|
+ |
+ |
|
информации отдельным пользователем и (или) группой поль- |
|
|
|
|
зователей |
|
|
|
|
XII. Защита технических средств (ЗТС) |
|
|
|
|
|
|
|
|
ЗТС.0 |
Разработка правил и процедур (политик) защиты техниче- |
+ |
+ |
+ |
ских средств |
||||
ЗТС.1 |
Защита информации, обрабатываемой техническими сред- |
|
|
|
ствами, от ее утечки по техническим каналам |
|
|
|
|
|
Организация контролируемой зоны, в пределах которой по- |
|
|
|
|
стоянно размещаются стационарные технические средства, |
|
|
|
ЗТС.2 |
обрабатывающие информацию, исполнительные устройства |
+ |
+ |
+ |
|
и средства защиты информации, а также средства обеспече- |
|
|
|
|
ния функционирования |
|
|
|
|
Контроль и управление физическим доступом к техническим |
|
|
|
|
средствам, средствам защиты информации, средствам обес- |
|
|
|
ЗТС.3 |
печения функционирования, а также в помещения и соору- |
+ |
+ |
+ |
|
жения, в которых они установлены, исключающие несанкци- |
|
|
|
|
онированный физический доступ |
|
|
|
ЗТС.4 |
Размещение устройств вывода (отображения) информации, |
|
|
|
исключающее ее несанкционированный просмотр |
|
|
|
|
|
Защита от внешних воздействий (воздействий окружающей |
|
|
|
ЗТС.5 |
среды, нестабильности электроснабжения, кондиционирова- |
+ |
+ |
+ |
|
ния и иных внешних факторов) |
|
|
|
XIII. Защита автоматизированной системы управления и ее компонентов (ЗИС) |
||||
|
|
|
|
|
ЗИС.0 |
Разработка правил и процедур (политик) защиты автоматизи- |
+ |
+ |
+ |
|
рованной системы управления и ее компонентов |
|
|
|
|
Разделение функций по управлению (администрированию) |
|
|
|
ЗИС.1 |
автоматизированной системой управления, управлению (ад- |
|
|
|
министрированию) системой защиты, функций по обработке |
+ |
+ |
+ |
|
|
информации и иных функций автоматизированной системы |
|
|
|
|
управления |
|
|
|
ЗИС.2 |
Предотвращение задержки или прерывания выполнения про- |
|
|
|
цессов с высоким приоритетом со стороны процессов с низ- |
|
|
|
|
|
ким приоритетом |
|
|
|
42
1 |
2 |
3 |
4 |
5 |
|
Обеспечение защиты информации от раскрытия, модифика- |
|
|
|
ЗИС.3 |
ции и навязывания (ввода ложной информации) при ее пере- |
|
|
|
даче (подготовке к передаче) по каналам связи, имеющим |
+ |
+ |
+ |
|
|
выход за пределы контролируемой зоны, в том числе беспро- |
|
|
|
|
водным каналам связи |
|
|
|
ЗИС.4 |
Обеспечение доверенных канала, маршрута между админи- |
|
|
|
стратором, пользователем и средствами защиты информации |
|
|
|
|
|
(функциями безопасности средств защиты информации) |
|
|
|
|
Запрет несанкционированной удаленной активации видеока- |
|
|
|
ЗИС.5 |
мер, микрофонов и иных периферийных устройств, которые |
|
|
|
|
могут активироваться удаленно, и оповещение пользователей |
|
|
|
|
об активации таких устройств |
|
|
|
|
Передача и контроль целостности атрибутов безопасности |
|
|
|
ЗИС.6 |
(меток безопасности), связанных с информацией, при обмене |
|
|
|
|
информацией с иными автоматизированными (информаци- |
|
|
|
|
онными) системами |
|
|
|
|
Контроль санкционированного и исключение несанкциониро- |
|
|
|
|
ванного использования технологий мобильного кода, в том чис- |
|
|
|
ЗИС.7 |
ле регистрация событий, связанных с использованием техноло- |
|
+ |
+ |
|
гий мобильного кода, их анализ и реагирование на нарушения, |
|
|
|
|
связанныесиспользованиемтехнологиймобильногокода |
|
|
|
|
Контроль санкционированного и исключение несанкциониро- |
|
|
|
|
ванного использования технологий передачи речи, в том числе |
|
|
|
ЗИС.8 |
регистрация событий, связанных с использованием техноло- |
|
|
|
|
гий передачи речи, их анализ и реагирование на нарушения, |
|
|
|
|
связанные с использованием технологий передачи речи |
|
|
|
|
Контроль санкционированной и исключение несанкциониро- |
|
|
|
|
ванной передачи видеоинформации, в том числе регистрация |
|
|
|
ЗИС.9 |
событий, связанных с передачей видеоинформации, их ана- |
|
|
|
|
лиз и реагирование на нарушения, связанные с передачей ви- |
|
|
|
|
деоинформации |
|
|
|
|
Подтверждение происхождения источника информации, по- |
|
|
|
ЗИС.10 |
лучаемой в процессе определения сетевых адресов по сетевым |
|
|
|
|
именам или определения сетевых имен по сетевым адресам |
|
|
|
|
Обеспечение подлинности сетевых соединений (сеансов вза- |
|
|
|
ЗИС.11 |
имодействия), в том числе для защиты от подмены сетевых |
|
+ |
+ |
|
устройств и сервисов |
|
|
|
ЗИС.12 |
Исключение возможности отрицания пользователем факта |
|
|
|
отправки информации другому пользователю |
|
|
|
|
ЗИС.13 |
Исключение возможности отрицания пользователем факта |
|
|
|
получения информации от другого пользователя |
|
|
|
|
ЗИС.14 |
Использование устройств терминального доступа для обра- |
|
|
|
ботки информации |
|
|
|
|
|
Защита архивных файлов, параметров настройки средств за- |
|
|
|
ЗИС.15 |
щиты информации и программного обеспечения и иных дан- |
|
+ |
+ |
|
ных, не подлежащих изменению в процессе обработки ин- |
|
|
|
|
формации |
|
|
|
43
1 |
|
2 |
|
3 |
4 |
5 |
ЗИС.16 |
Выявление, анализ и блокирование скрытых каналов переда- |
|
|
|
||
чи информации в обход реализованных мер защиты инфор- |
|
|
|
|||
|
мации или внутри разрешенных сетевых протоколов |
|
|
|
||
ЗИС.17 |
Разбиение автоматизированной системы управления на сег- |
|
|
|
||
менты (сегментирование) и обеспечение защиты периметров |
+ |
+ |
+ |
|||
|
сегментов |
|
|
|
|
|
|
Обеспечение загрузки и исполнения программного обеспече- |
|
|
|
||
ЗИС.18 |
ния с машинных носителей информации, доступных только |
|
|
|
||
|
для чтения, и контроль целостности данного программного |
|
|
|
||
|
обеспечения |
|
|
|
|
|
ЗИС.19 |
Изоляция процессов (выполнение программ) в выделенной |
|
|
|
||
|
области памяти |
|
|
|
|
|
ЗИС.20 |
Защита беспроводных соединений, применяемых в автомати- |
+ |
+ |
+ |
||
зированной системе управления |
|
|||||
|
Исключение доступа пользователя к информации, возникшей |
|
|
|
||
ЗИС.21 |
в результате действий предыдущего пользователя, через ре- |
|
|
|
||
естры, оперативную память, внешние запоминающие устрой- |
|
|
|
|||
|
ства и иные общие для пользователей ресурсы |
|
|
|
||
|
Защита автоматизированной системы управления от угроз |
|
|
|
||
ЗИС.22 |
безопасности информации, направленных на отказ в обслу- |
+ |
+ |
+ |
||
|
живании |
|
|
|
|
|
|
Защита периметра (физических и (или) логических границ) ав- |
|
|
|
||
ЗИС.23 |
томатизированной системы управления при ее взаимодействии |
+ |
+ |
+ |
||
с иными автоматизированными (информационными) система- |
||||||
|
мии информационно-телекоммуникационными сетями |
|
|
|
||
|
Прекращение сетевых соединений по их завершении или по |
|
|
|
||
ЗИС.24 |
истечении заданного оператором временного интервала не- |
|
|
|
||
|
активности сетевого соединения |
|
|
|
|
|
|
Использование в автоматизированной системе управления раз- |
|
|
|
||
ЗИС.25 |
личных типов |
общесистемного, прикладного и специального |
|
|
|
|
|
программногообеспечения(созданиегетерогеннойсреды) |
|
|
|
||
|
Использование прикладного (специального) программного |
|
|
|
||
ЗИС.26 |
обеспечения, |
имеющего возможность |
функционирования |
|
|
|
|
в средах различных операционных систем |
|
|
|
|
|
|
Создание (эмуляция) ложных компонентов автоматизирован- |
|
|
|
||
ЗИС.27 |
ной системы управления, предназначенных для обнаружения, |
|
|
|
||
регистрации и анализа действий нарушителей в процессе ре- |
|
|
|
|||
|
ализации угроз безопасности информации |
|
|
|
|
|
|
Воспроизведение ложных и (или) скрытие истинных отдель- |
|
|
|
||
|
ных технологий и (или) структурно-функциональных харак- |
|
|
|
||
ЗИС.28 |
теристик автоматизированной системы управления или ее |
|
|
|
||
|
сегментов, обеспечивающее навязывание нарушителю лож- |
|
|
|
||
|
ного представления об истинных технологиях и (или) струк- |
|
|
|
||
|
турно-функциональных характеристиках |
|
|
|
|
|
|
Перевод автоматизированной системы |
или ее устройств |
|
|
|
|
ЗИС.29 |
(компонентов) в заранее определенную конфигурацию, обес- |
|
|
|
||
|
печивающую защиту информации, в случае возникновения |
|
|
|
||
|
отказов (сбоев) |
|
|
|
|
|
ЗИС.30 |
Защита мобильных технических средств, применяемых в ав- |
+ |
+ |
+ |
||
|
томатизированной системе управления |
|
|
|
|
|
44
1 |
|
2 |
3 |
|
4 |
5 |
|
|
XIV. Обеспечение безопасной разработки |
|
|
|
|
|
|
программного обеспечения (ОБР) |
|
|
|
|
ОБР.0 |
|
Разработка правил и процедур (политик) обеспечения без- |
+ |
|
+ |
+ |
|
|
опасной разработки программного обеспечения |
|
|
|
|
ОБР.1 |
|
Анализ уязвимостей и угроз безопасности информации в хо- |
+ |
|
+ |
+ |
|
|
де разработки программного обеспечения |
|
|
|
|
ОБР.2 |
|
Статический анализ кода программного обеспечения в ходе |
|
|
+ |
+ |
|
|
разработки программного обеспечения |
|
|
|
|
ОБР.3 |
|
Ручной анализ кода программного обеспечения в ходе разра- |
|
|
|
|
|
|
ботки программного обеспечения |
|
|
|
|
ОБР.4 |
|
Тестирование на проникновение в ходе разработки про- |
|
|
+ |
+ |
|
|
граммного обеспечения |
|
|
|
|
ОБР.5 |
|
Динамический анализ кода программного обеспечения в ходе |
|
|
+ |
+ |
|
|
разработки программного обеспечения |
|
|
|
|
ОБР.6 |
|
Документирование процедур обеспечения безопасной разра- |
|
|
|
|
|
ботки программного обеспечения разработчиком и представ- |
+ |
|
+ |
+ |
|
|
|
ление их заказчику (оператору) |
|
|
|
|
|
XV. Управление обновлениями программного обеспечения (ОПО) |
|
|
|||
|
|
|
|
|
|
|
|
|
Разработка правил и процедур (политик) управления обнов- |
|
|
|
|
ОПО.0 |
|
лениями программного обеспечения (включая получение, |
+ |
|
+ |
+ |
|
|
проверку и установку обновлений) |
|
|
|
|
ОПО.1 |
|
Получение обновлений программного обеспечения от разра- |
+ |
|
+ |
+ |
|
ботчика или уполномоченного им лица |
|
||||
ОПО.2 |
|
Тестирование обновлений программного обеспечения до его |
+ |
|
+ |
+ |
|
установки на макете или в тестовой зоне |
|
||||
ОПО.3 |
|
Централизованная установка обновлений программного |
|
|
|
|
|
обеспечения |
|
|
|
|
|
|
|
XVI. Планирование мероприятий |
|
|
|
|
|
|
по обеспечению защиты информации (ПЛН) |
|
|
|
|
ПЛН.0 |
|
Разработка правил и процедур (политик) планирования ме- |
+ |
|
+ |
+ |
|
роприятий по обеспечению защиты информации |
|
||||
|
|
Определение лиц, ответственных за планирование, реализа- |
|
|
|
|
ПЛН.1 |
|
цию и контроль мероприятий по обеспечению защиты ин- |
+ |
|
+ |
+ |
|
|
формации в автоматизированной системе управления |
|
|
|
|
|
|
Разработка, утверждение и актуализация плана мероприятий |
|
|
|
|
ПЛН.2 |
|
по обеспечению защиты информации в автоматизированных |
+ |
|
+ |
+ |
|
|
системах управления |
|
|
|
|
|
|
Контроль выполнения мероприятий по обеспечению защиты |
|
|
|
|
ПЛН.3 |
|
информации в автоматизированных системах управления, |
+ |
|
+ |
+ |
|
|
предусмотренных утвержденным планом |
|
|
|
|
|
|
XVII. Обеспечение действий в нештатных |
|
|
|
|
|
|
(непредвиденных) ситуациях (ДНС) |
|
|
|
|
ДНС.0 |
|
Разработка правил и процедур (политик) обеспечения дей- |
+ |
|
+ |
+ |
|
|
ствий в нештатных (непредвиденных) ситуациях |
|
|
|
|
ДНС.1 |
|
Разработка плана действий на случай возникновения нештат- |
+ |
|
+ |
+ |
|
|
ных (непредвиденных) ситуаций |
|
|
|
|
45