Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Приказ Министерства здравоохранения Республики Саха (Якутия) от 12 апреля 2023 г. N 01-07/710 "О подключении автоматизированных рабочих мест к Государственной информационной системе здравоохранения РС (Я) "Региональная медицинская система"
- Приложение. Регламент подключения новых сегментов Централизованная информационная система "Региональная медицинская информационная система"
- Приложение N 1. Требования к мерам защиты в ИС
Приложение N 1. Требования к мерам защиты в ИС
Приложение N 1
к Регламенту подключения
новых пользователей
Требования
к мерам защиты в ИС
|
Усл-ое обоз-ие и N меры |
Требования к реализации меры защиты информации |
Требования к усилению меры защиты информации |
|
Идентификация и аутентификация субъектов доступа и объектов доступа | ||
|
ИАФ.1 |
При доступе в ИС должна осуществляться идентификация и аутентификация пользователей, являющихся работниками оператора (внутренних пользователей), и процессов, запускаемых от имени этих пользователей, а также процессов, запускаемых от имени системных учетных записей. |
В ИС должна обеспечиваться многофакторная (двухфакторная) аутентификация для удаленного и локального доступа в систему с правами привилегированных учетных записей (администраторов) и для удаленного доступа для непривилегированных учетных записей с использованием сети связи общего пользования, в том числе сети Интернет. |
|
ИАФ.2 |
В ИС до начала информационного взаимодействия (передачи защищаемой информации от устройства к устройству) должна осуществляться идентификация и аутентификация устройств (технических средств). Оператором должен быть определен перечень типов устройств, используемых В ИС и подлежащих идентификации и аутентификации до начала информационного взаимодействия. Идентификация устройств В ИС обеспечивается по логическим именам (имя устройства и (или) ID), логическим адресам (например, IP-адресам) и (или) по физическим адресам (например, МАС-адресам) устройства или по комбинации имени, логического и (или) физического адресов устройства. Аутентификация устройств В ИС обеспечивается с использованием соответствующих протоколов аутентификации или с применением в соответствии с законодательством Российской Федерации криптографических методов защиты информации |
- |
|
ИАФ.3 |
Оператором должны быть установлены и реализованы следующие функции управления идентификаторами пользователей и устройств в ИС: - определение должностного лица (администратора) оператора, ответственного за создание, присвоение и уничтожение идентификаторов пользователей и устройств; - формирование идентификатора, который однозначно идентифицирует пользователя и (или) устройство; - присвоение идентификатора пользователю и (или) устройству; - предотвращение повторного использования идентификатора пользователя и (или) устройства в течение установленного оператором периода времени; - блокирование идентификатора пользователя после установленного оператором времени неиспользования. |
В ИС должна обеспечиваться многофакторная (двухфакторная) аутентификация для удаленного и локального доступа в систему с правами привилегированных учетных записей (администраторов) и для удаленного доступа для непривилегированных учетных записей с использованием сети связи общего пользования, в том числе сети Интернет. |
|
ИАФ.4 |
Оператором должны быть установлены и реализованы следующие функции управления средствами аутентификации (аутентификационной информацией) пользователей и устройств в ИС: - определение должностного лица (администратора) оператора, ответственного за хранение, выдачу, инициализацию, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации; - изменение аутентификационной информации (средств аутентификации), заданных их производителями и (или) используемых при внедрении СЗИ ИС; - выдача средств аутентификации пользователям; - генерация и выдача начальной аутентификационной информации (начальных значений средств аутентификации); - установление характеристик пароля (при использовании в ИС механизмов аутентификации на основе пароля): а) задание минимальной сложности пароля с определяемыми оператором требованиями к регистру, количеству символов, сочетанию букв верхнего и нижнего регистра, цифр и специальных символов; б) задание минимального количества измененных символов при создании новых паролей; в) задание максимального времени действия пароля; г) задание минимального времени действия пароля; д) запрет на использование пользователями определенного оператором числа последних использованных паролей при создании новых паролей; - блокирование (прекращение действия) и замена утерянных, скомпрометированных или поврежденных средств аутентификации; - назначение необходимых характеристик средств аутентификации (в том числе механизма пароля); - обновление аутентификационной информации (замена средств аутентификации) с периодичностью, установленной оператором; - защита аутентификационной информации от неправомерного доступа к ней и модифицирования. |
В случае использования в ИС механизмов аутентификации на основе пароля (иной последовательности символов, используемой для аутентификации) или применения пароля в качестве одного из факторов многофакторной аутентификации, его характеристики должны быть следующими: - длина пароля не менее 6 символов; - алфавит пароля не менее 70 символов; - максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 8 попыток; - блокировка программно-технического средства или учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации от 10 до 30 минут; - смена паролей не более чем через 90 дней. |
|
ИАФ.5 |
В ИС должна осуществляться защита аутентификационной информации в процессе ее ввода для аутентификации от возможного использования лицами, не имеющими на это полномочий. Защита обратной связи "система - субъект доступа" в процессе аутентификации обеспечивается исключением отображения для пользователя действительного значения аутентификационной информации и (или) количества вводимых пользователем символов аутентификационной информации. Вводимые символы пароля могут отображаться условными знаками "*", "°" или иными знаками. |
- |
|
ИАФ.6 |
В ИС должна осуществляться однозначная идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей), или процессов, запускаемых от имени этих пользователей. |
- |
|
Управление доступом субъектов доступа к объектам доступа | ||
|
УПД.1 |
Оператором должны быть установлены и реализованы следующие функции управления учетными записями пользователей, в том числе внешних пользователей: - определение типа учетной записи (внутреннего пользователя, внешнего пользователя; системная, приложения; гостевая (анонимная), временная и (или) иные типы записей); - объединение учетных записей в группы (при необходимости); - верификация пользователя (проверка личности пользователя, его должностных (функциональных) обязанностей) при заведении учетной записи пользователя; - заведение, активация, блокирование и уничтожение учетных записей пользователей; - пересмотр и, при необходимости, корректировка учетных записей пользователей с периодичностью, определяемой оператором; - порядок заведения и контроля использования гостевых (анонимных) и временных учетных записей пользователей, а также привилегированных учетных записей администраторов; - оповещение администратора, осуществляющего управление учетными записями пользователей, об изменении сведений о пользователях, их ролях, обязанностях, полномочиях, ограничениях;- уничтожение временных учетных записей пользователей, предоставленных для однократного (ограниченного по времени) выполнения задач в ИС; - предоставление пользователям прав доступа к объектам доступа ИС, основываясь на задачах, решаемых пользователями в ИС и взаимодействующими с ней ИС. Временная учетная запись может быть заведена для пользователя на ограниченный срок для выполнения задач, требующих расширенных полномочий, или для проведения настройки, тестирования ИС, для организации гостевого доступа (посетителям, сотрудникам сторонних организаций, стажерам и иным пользователям с временным доступом к ИС). |
Оператором должны использоваться автоматизированные средства поддержки управления учетными записями пользователей. В ИС должно осуществляться автоматическое блокирование временных учетных записей пользователей по окончании установленного периода времени для их использования. В ИС должно осуществляться автоматическое блокирование неактивных (неиспользуемых) учетных записей пользователей после периода времени неиспользования 90 дней. |
|
УПД.2 |
В ИС для управления доступом субъектов доступа к объектам доступа должны быть реализованы установленные оператором методы управления доступом, назначены типы доступа субъектов к объектам доступа и реализованы правила разграничения доступа субъектов доступа к объектам доступа. Методы управления доступом реализуются в зависимости от особенностей функционирования ИС, с учетом угроз безопасности информации и должны включать один или комбинацию следующих методов: - дискреционный метод управления доступом, предусматривающий управление доступом субъектов доступа к объектам доступа на основе идентификационной информации субъекта и для каждого объекта доступа - списка, содержащего набор субъектов доступа (групп субъектов) и ассоциированных с ними типов доступа; - ролевой метод управления доступом, предусматривающий управление доступом субъектов доступа к объектам доступа на основе ролей субъектов доступа (совокупность действий и обязанностей, связанных с определенным видом деятельности); Типы доступа должны включать операции по чтению, записи, удалению, выполнению и иные операции, разрешенные к выполнению пользователем (группе пользователей) или запускаемому от его имени процессу при доступе к объектам доступа. Правила разграничения доступа реализуются на основе установленных оператором списков доступа или матриц доступа и должны обеспечивать управление доступом пользователей (групп пользователей) и запускаемых от их имени процессов при входе в систему, доступе к техническим средствам, устройствам, объектам файловой системы, запускаемым и исполняемым модулям, объектам систем управления базами данных, объектам, создаваемым прикладным и специальным ПО, параметрам настройки СрЗИ, информации о СЗИ и иной информации о функционировании СЗИ, а также иным объектам доступа |
В ИС правила разграничения доступа должны обеспечивать управление доступом субъектов при входе в ИС. В ИС правила разграничения доступа должны обеспечивать управление доступом субъектов к техническим средствам, устройствам, внешним устройствам. В ИС правила разграничения доступа должны обеспечивать управление доступом субъектов к объектам, создаваемым общесистемным (общим) ПО. |
|
УПД.3 |
В ИС должно осуществляться управление информационными потоками при передаче информации между устройствами, сегментами в рамках ИС, включающее: - фильтрацию информационных потоков в соответствии с правилами управления потоками, установленными оператором; - разрешение передачи информации в ИС только по маршруту, установленному оператором; - изменение (перенаправление) маршрута передачи информации в случаях, установленных оператором; - запись во временное хранилище информации для анализа и принятия решения о возможности ее дальнейшей передачи в случаях, установленных оператором. Управление информационными потоками должно обеспечивать разрешенный (установленный оператором) маршрут прохождения информации между пользователями, устройствами, сегментами в рамках ИС, а также между ИС или при взаимодействии с сетью Интернет на основе правил управления информационными потоками, включающим контроль конфигурации ИС, источника и получателя передаваемой информации, структуры передаваемой информации, характеристики информационных потоков и (или) канала связи (без анализа содержания информации). Управление информационными потоками должно блокировать передачу защищаемой информации через сеть Интернет по незащищенным линиям связи, сетевые запросы и трафик, несанкционированно исходящие из ИС и (или) входящие в ИС. |
- |
|
УПД.4 |
Оператором должно быть обеспечено разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование ИС, в соответствии с их должностными обязанностями (функциями), фиксирование в ОРД по защите информации, полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование ИС, и санкционирование доступа к объектам доступа в соответствии с разделением полномочий (ролей). |
- |
|
УПД.5 |
Оператором должно быть обеспечено назначение прав и привилегий пользователям и запускаемым от их имени процессам, администраторам и лицам, обеспечивающим функционирование ИС, минимально необходимых для выполнения ими своих должностных обязанностей (функций), и санкционирование доступа к объектам доступа в соответствии с минимально необходимыми правами и привилегиями. Оператором должны быть однозначно определены и зафиксированы в ОРД по защите информации роли и (или) должностные обязанности (функции), также объекты доступа, в отношении которых установлен наименьший уровень привилегий. |
- |
|
УПД.6 |
В ИС должно быть установлено и зафиксировано в ОРД оператора по защите информации (задокументировано) ограничение количества неуспешных попыток входа в ИС (доступа к ИС) за период времени, установленный оператором, а также обеспечено блокирование устройства, с которого предпринимаются попытки доступа, и (или) учетной записи пользователя при превышении пользователем ограничения количества неуспешных попыток входа в ИС (доступа к ИС). |
- |
|
УПД.10 |
В ИС должно обеспечиваться блокирование сеанса доступа пользователя после установленного оператором времени его бездействия (неактивности) в ИС или по запросу пользователя. Блокирование сеанса доступа пользователя в ИС обеспечивает временное приостановление работы пользователя со СВТ, с которого осуществляется доступ к ИС (без выхода из ИС). Для заблокированного сеанса должно осуществляться блокирование любых действий по доступу к информации и устройствам отображения, кроме необходимых для разблокирования сеанса. |
В ИС обеспечивается блокирование сеанса доступа пользователя после времени бездействия (неактивности) пользователя 15 минут: В ИС на устройстве отображения (мониторе) после блокировки сеанса не должна отображаться информация сеанса пользователя (в том числе использование "хранителя экрана", гашение экрана или иные способы) |
|
УПД.11 |
Оператором должен быть установлен перечень действий пользователей, разрешенных до прохождения ими процедур идентификации и аутентификации, и запрет действий пользователей, не включенных в перечень разрешенных действий, до прохождения ими процедур идентификации и аутентификации. Разрешение действий пользователей до прохождения ими процедур идентификации и аутентификации осуществляется, в том числе, при предоставлении пользователям доступа к общедоступной информации (вебсайтам, порталам, иным общедоступным ресурсам). Также администратору разрешаются действия в обход установленных процедур идентификации и аутентификации, необходимые только для восстановления функционирования ИС в случае сбоев в работе или выходе из строя отдельных технических средств (устройств). |
- |
|
УПД.13 |
Оператором должна обеспечиваться защита информации при доступе пользователей (процессов запускаемых от имени пользователей) и (или) иных субъектов доступа к объектам доступа ИС через информационно-телекоммуникационные сети, в том числе сети связи общего пользования, с использованием стационарных и (или) мобильных технических средств (защита удаленного доступа). Защита удаленного доступа должна обеспечиваться при всех видах доступа (беспроводной, проводной (коммутируемый), широкополосный и иные виды доступа) и включает: - установление видов доступа, разрешенных для удаленного доступа к объектам доступа ИС; - ограничение на использование удаленного доступа в соответствии с задачами (функциями) ИС, для решения которых такой доступ необходим; - предоставление удаленного доступа только тем пользователям, которым он необходим для выполнения установленных должностных обязанностей (функций); - мониторинг и контроль удаленного доступа на предмет выявления несанкционированного удаленного доступа к объектам доступа ИС; - контроль удаленного доступа пользователей (процессов запускаемых от имени пользователей) к объектам доступа ИС до начала информационного взаимодействия с ИС (передачи защищаемой информации). |
В ИС используется ограниченное (минимально необходимое) количество точек подключения к ИС при организации удаленного доступа к объектам доступа ИС. В ИС исключается удаленный доступ от имени привилегированных учетных записей (администраторов) для администрирования ИС и ее системы защиты информации; В ИС обеспечивается мониторинг и контроль удаленного доступа на предмет выявления установления несанкционированного соединения технических средств (устройств) с ИС |
|
УПД.16 |
Оператором должно быть обеспечено управление взаимодействием с внешними ИС, включающими ИС и вычислительные ресурсы (мощности) уполномоченных лиц, ИС, с которыми установлено информационное взаимодействие на основании заключенного договора (соглашения), а также с иными ИС, информационное взаимодействие с которыми необходимо для функционирования ИС. Управление взаимодействием с внешними ИС должно включать: - предоставление доступа к ИС только авторизованным (уполномоченным) пользователям; - определение типов прикладного ПО ИС, к которым разрешен доступ авторизованным (уполномоченным) пользователям из внешних ИС; - определение системных учетных записей, используемых в рамках данного взаимодействия; - определение порядка предоставления доступа к ИС авторизованными (уполномоченным) пользователями из внешних ИС; определение порядка обработки, хранения и передачи информации с использованием внешних ИС. Управление взаимодействием с внешними ИС в целях межведомственного электронного взаимодействия, исполнения государственных и муниципальных функций, формирования базовых государственных информационных ресурсов осуществляется в том числе с использованием единой системы идентификации и аутентификации, созданной в соответствии с постановлением Правительства Российской Федерации от 28 ноября 2011 г. N 977. |
Оператор предоставляет доступ к ИС авторизованным (уполномоченным) пользователям внешних ИС или разрешает обработку, хранение и передачу информации с использованием внешней ИС при выполнении следующих условий: при наличии договора (соглашения) об информационном взаимодействии с оператором (обладателем, владельцем) внешней ИС; при наличии подтверждения выполнения во внешней ИС предъявленных к ней требований о защите информации (наличие аттестата соответствия требованиям по безопасности информации или иного подтверждения). |
|
УПД.17 |
В ИС должно обеспечиваться исключение НСД к программным и (или) техническим ресурсам средства вычислительной техники ИС на этапе его загрузки. Доверенная загрузка должна обеспечивать: - блокирование попыток несанкционированной загрузки нештатной ОС (среды) или недоступность информационных ресурсов для чтения или модификации в случае загрузки нештатной ОС; - контроль доступа пользователей к процессу загрузки ОС; - контроль целостности ПО и аппаратных компонентов средств вычислительной техники. В ИС применяется доверенная загрузка на разных уровнях (уровня базовой системы ввода-вывода, уровня платы расширения и уровня загрузочной записи) |
В ИС должна осуществляться доверенная загрузка уровня базовой системы ввода-вывода или уровня платы расширения |
|
Ограничение программной среды | ||
|
ОПС.2 |
Оператором должны быть реализованы следующие функции по управлению установкой (инсталляцией) компонентов ПО ИС: - определение компонентов ПО (состава и конфигурации), подлежащих установке В ИС после загрузки ОС; - настройка параметров установки компонентов ПО, обеспечивающая исключение установки (если осуществимо) компонентов ПО, использование которых не требуется для реализации информационной технологии ИС (например, при запуске установщика можно выбрать или не выбрать определенные опции и, тем самым, разрешить или запретить установку соответствующих компонентов ПО); - выбор конфигурации устанавливаемых компонентов ПО (в том числе конфигурации, предусматривающие включение в домен, или не включение в домен); - контроль за установкой компонентов ПО (состав компонентов, параметры установки, конфигурация компонентов); - определение и применение параметров настройки компонентов ПО, включая программные компоненты СрЗИ, обеспечивающих реализацию мер защиты информации, а также устранение возможных уязвимостей ИС, приводящих к возникновению угроз безопасности информации. |
|
|
ОПС.3 |
Оператором должна быть обеспечена установка (инсталляция) только разрешенного к использованию в ИС ПО и (или) его компонентов. Установка (инсталляция) в ИС ПО (вида, типа, класса ПО) и (или) его компонентов осуществляется с учетом перечня ПО и (или) его компонентов, разрешенных оператором к установке ("белый список"), и (или) перечнем ПО и (или) его компонентов, запрещенных оператором к установке ("черный список"). Указанные перечни ПО и (или) его компонентов разрабатываются оператором для ИС в целом или для всех ее сегментов или устройств в отдельности и фиксируются в ОРД оператора по защите информации. Установка (инсталляция) в ИС ПО и (или) его компонентов должна осуществляться только от имени администратора. Оператором должен обеспечиваться периодический контроль установленного (инсталлированного) в ИС ПО на предмет соответствия его перечню ПО, разрешенному к установке в ИС, а также на предмет отсутствия ПО, запрещенного оператором к установке. |
|
|
Защита машинных носителей информации | ||
|
ЗНИ.1 |
Оператором должен быть обеспечен учет МНИ, используемых в ИС для хранения и обработки информации. Учету подлежат: - съемные МНИ (флэш-накопители, внешние накопители на жестких дисках и иные устройства); - портативные вычислительные устройства, имеющие встроенные носители информации; - МНИ, встроенные в корпус СВТ. Учет МНИ включает присвоение регистрационных (учетных) номеров носителям. В качестве регистрационных номеров могут использоваться идентификационные (серийные) номера МНИ, присвоенные производителями этих МНИ, номера инвентарного учета, в том числе инвентарные номера технических средств, имеющих встроенные носители информации, и иные номера. Учет съемных МНИ должен вестись в журналах учета МНИ. Учет встроенных в портативные или стационарные технические средства МНИ может вестись в журналах материально-технического учета в составе соответствующих технических средств. Регистрационные или иные номера подлежат занесению в журналы учета МНИ или журналы материально-технического учета с указанием пользователя или группы пользователей, которым разрешен доступ к МНИ. Раздельному учету в журналах учета подлежат съемные (в том числе портативные) перезаписываемые МНИ (флэш накопители, съемные жесткие диски). |
Оператором обеспечивается маркировка МНИ (технических средств), дополнительно включающая информацию о возможности использования МНИ вне ИС; |
|
ЗНИ.2 |
Оператором должны быть реализованы следующие функции по управлению доступом к МНИ, используемым в ИС - определение должностных лиц, имеющих физический доступ к МНИ, а именно к следующим: - съемным МНИ (флэш-накопители, внешние накопители на жестких дисках и иные устройства); - портативным вычислительным устройствам, имеющим встроенные носители информации; - МНИ, стационарно устанавливаемым в корпус СВТ. Предоставление физического доступа к МНИ только тем лицам, которым он необходим для выполнения своих должностных обязанностей (функций). |
|
|
ЗНИ.5 |
В ИС должен осуществляться контроль использования интерфейсов ввода (вывода). Контроль использования (разрешение или запрет) интерфейсов ввода (вывода) должен предусматривать: - определение оператором интерфейсов средств вычислительной техники, которые могут использоваться для ввода (вывода) информации, разрешенных и (или) запрещенных к использованию В ИС; - определение оператором категорий пользователей, которым предоставлен доступ к разрешенным к использованию интерфейсов ввода (вывода); |
|
|
ЗНИ.8 |
Оператором должно обеспечиваться уничтожение (стирание) информации на МНИ при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) информации. Уничтожение (стирание) информации на МНИ должно исключать возможность восстановления защищаемой информации при передаче МНИ между пользователями, в сторонние организации для ремонта или утилизации. Уничтожению (стиранию) подлежит информация, хранящаяся на цифровых и нецифровых, съемных и несъемных МНИ. |
Оператором должны быть обеспечены регистрация и контроль действий по удалению защищаемой информации и уничтожению МНИ. Оператором должны применяться следующие меры по уничтожению (стиранию) информации на МНИ, исключающие возможность восстановления защищаемой информации: очистка всего физического пространства МНИ, включая сбойные и резервные элементы памяти специализированными программами или утилитами производителя. |
|
Регистрация событий безопасности | ||
|
РСБ.1 |
Оператором должны быть определены события безопасности в ИС, подлежащие регистрации, и сроки их хранения. События безопасности, подлежащие регистрации в ИС, должны определяться с учетом способов реализации угроз безопасности для ИС. К событиям безопасности, подлежащим регистрации в ИС, должны быть отнесены любые проявления состояния ИС и ее СЗИ, указывающие на возможность нарушения конфиденциальности, целостности или доступности информации, доступности компонентов ИС, нарушения процедур, установленных ОРД по защите информации оператора, а также на нарушение штатного функционирования СрЗИ. События безопасности, подлежащие регистрации в ИС, и сроки их хранения соответствующих записей регистрационных журналов должны обеспечивать возможность обнаружения, идентификации и анализа инцидентов, возникших в ИС. Подлежат регистрации события безопасности, связанные с применением выбранных мер по защите информации в ИС. Перечень событий безопасности, регистрация которых осуществляется в текущий момент времени, определяется оператором исходя из возможностей реализации угроз безопасности информации и фиксируется в ОРД по защите информации. В ИС как минимум подлежат регистрации следующие события: - вход (выход), а также попытки входа субъектов доступа в ИС и загрузки (остановка) ОС; - подключение МНИ и вывод информации на носители информации; - запуск (завершение) программ и процессов (заданий, задач), связанных с обработкой защищаемой информации; - попытки доступа программных средств к определяемым оператором защищаемым объектам доступа и иным объектам доступа; - попытки удаленного доступа. |
Оператором должен обеспечиваться пересмотр перечня событий безопасности, подлежащих регистрации, не менее чем один раз в год, а также по результатам контроля (мониторинга) за обеспечением уровня защищенности информации, содержащейся В ИС. Оператором в перечень событий безопасности, подлежащих регистрации, должны быть включены события, связанные с изменением привилегий учетных записей. Оператором должен быть обеспечен срок хранения информации о зарегистрированных событиях безопасности не менее 3 месяцев, если иное не установлено требованиями законодательства Российской Федерации, при этом осуществляется хранение только записей о выявленных событиях безопасности. |
|
РСБ.2 |
В ИС должны быть определены состав и содержание информации о событиях безопасности, подлежащих регистрации. Состав и содержание информации о событиях безопасности, включаемой в записи регистрации о событиях безопасности, должны, как минимум, обеспечить возможность идентификации типа события безопасности, даты и времени события безопасности, идентификационной информации источника события безопасности, результат события безопасности (успешно или неуспешно), субъект доступа (пользователь и (или) процесс), связанный с данным событием безопасности. |
В ИС обеспечивается запись дополнительной информации о событиях безопасности, включающую полнотекстовую запись привилегированных команд (команд, управляющих системными функциями). |
|
РСБ.3 |
В ИС должны осуществляться сбор, запись и хранение информации о событиях безопасности в течение установленного оператором времени хранения информации о событиях безопасности. Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения должен предусматривать: - возможность выбора администратором безопасности событий безопасности, подлежащих регистрации в текущий момент времени; - генерацию (сбор, запись) записей регистрации (аудита) для событий безопасности, подлежащих регистрации (аудиту); - хранение информации о событиях безопасности в течение установленного времени. |
В ИС должно быть обеспечено централизованное автоматизированное управление сбором, записью и хранением информации о событиях безопасности. |
|
РСБ.4 |
В ИС должно осуществляться реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти. Реагирование на сбои при регистрации событий безопасности должно предусматривать: - предупреждение (сигнализация, индикация) администраторов о сбоях (аппаратных и программных ошибках, сбоях в механизмах сбора информации или переполнения объема (емкости) памяти) при регистрации событий безопасности; - реагирование на сбои при регистрации событий безопасности путем изменения администраторами параметров сбора, записи и хранения информации о событиях безопасности, в том числе отключение записи информации о событиях безопасности от части компонентов ИС, запись поверх устаревших хранимых записей событий безопасности. |
|
|
РСБ.5 |
Оператором должен осуществляться мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них. Мониторинг (просмотр и анализ) записей регистрации (аудита) должен проводиться для всех событий, подлежащих регистрации, и с периодичностью, установленной оператором, и обеспечивать своевременное выявление признаков инцидентов безопасности в ИС. В случае выявления признаков инцидентов безопасности в ИС осуществляется планирование и проведение мероприятий по реагированию на выявленные инциденты безопасности. |
|
|
РСБ.6 |
В ИС должно осуществляться генерирование надежных меток времени и (или) синхронизация системного времени. Получение меток времени, включающих дату и время, используемых при генерации записей регистрации (аудита) событий безопасности в ИС достигается посредством применения внутренних системных часов ИС. |
- |
|
РСБ.7 |
В ИС должно осуществляться генерирование надежных меток времени и (или) синхронизация системного времени. Получение меток времени, включающих дату и время, используемых при генерации записей регистрации (аудита) событий безопасности в ИС достигается посредством применения внутренних системных часов ИС. |
В ИС обеспечивается резервное копирование записей регистрации (аудита) |
|
Антивирусная защита | ||
|
АВЗ.1 |
Оператором должна обеспечиваться антивирусная защита ИС, включающая обнаружение компьютерных программ либо иной компьютерной информации, предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации СрЗИ, а также реагирование на обнаружение этих программ и информации. Реализация антивирусной защиты должна предусматривать: - применение средств антивирусной защиты на АРМ, серверах, периметральных СрЗИ, мобильных технических средствах и иных точках доступа в ИС, подверженных внедрению (заражению) вредоносными вирусами через съемные МНИ или сетевые подключения, в том числе к сетям общего пользования; - установку, конфигурирование и управление средствами антивирусной защиты; - предоставление доступа средствам антивирусной защиты к объектам ИС, которые должны быть подвергнуты проверке средством антивирусной защиты; - проведение периодических проверок компонентов ИС на наличие вирусов; - проверку в масштабе времени, близком к реальному, объектов (файлов) из внешних источников при загрузке, открытии или исполнении таких файлов; - оповещение администраторов безопасности в масштабе времени, близком к реальному, об обнаружении вирусов; - определение и выполнение действий по реагированию на обнаружение в ИС объектов, подвергшихся заражению вредоносными компьютерными программами (вирусами). |
в ИС должно предоставление прав (администрированию) антивирусной защиты безопасности. В ИС должно централизованное управление (установка, удаление, обновление, конфигурирование и контроль актуальности версий ПО средств антивирусной защиты) средствами антивирусной защиты, установленными на компонентах ИС (серверах, автоматизированных рабочих местах) |
|
АВЗ.2 |
Оператором должно быть обеспечено обновление базы данных признаков вредоносных компьютерных программ (вирусов). Обновление базы данных признаков вредоносных компьютерных программ (вирусов) должно предусматривать: - получение уведомлений о необходимости обновлений и непосредственном обновлении базы данных признаков вредоносных компьютерных программ (вирусов); - получение из доверенных источников и установку обновлений базы данных вредоносных компьютерных программ (вирусов); - контроль целостности обновлений базы данных вредоносных компьютерных программ (вирусов). |
В ИС должно обеспечиваться централизованное управление обновлением базы данных признаков вредоносных компьютерных программ (вирусов) |
|
Обнаружение вторжений | ||
|
СОВ.1 |
Оператором должно обеспечиваться обнаружение (предотвращение) вторжений (компьютерных атак), направленных на преднамеренный НСД к информации, специальные воздействия на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней, с использованием систем обнаружения вторжений. Применяемые системы обнаружения вторжений должны включать компоненты регистрации событий безопасности (датчики), компоненты анализа событий безопасности и распознавания компьютерных атак (анализаторы) и базу решающих правил, содержащую информацию о характерных признаках компьютерных атак. Обнаружение (предотвращение) вторжений должно осуществляться на внешней границе ИС (системы обнаружения вторжений уровня сети) и (или) на внутренних узлах (системы обнаружения вторжений уровня узла) сегментов ИС (автоматизированных рабочих местах, серверах и иных узлах), определяемых оператором. Права по управлению (администрированию) системами обнаружения вторжений должны предоставляться только уполномоченным должностным лицам. Системы обнаружения вторжений должны обеспечивать реагирование на обнаруженные и распознанные компьютерные атаки с учетом особенностей функционирования ИС. |
В ИС обеспечивается централизованное управление (администрирование) компонентами системы обнаружения вторжений, установленными в различных сегментах ИС |
|
СОВ.2 |
Оператором должно обеспечиваться обновление базы решающих правил системы обнаружения вторжений, применяемой В ИС. Обновление базы решающих правил системы обнаружения вторжений должно предусматривать: - получение уведомлений о необходимости обновлений и непосредственном обновлении базы решающих правил; - получение из доверенных источников и установку обновлений базы решающих правил; - контроль целостности обновлений базы решающих правил. |
|
|
Контроль (анализ) защищенности информации | ||
|
АНЗ.1 |
Оператором должны осуществляться выявление (поиск), анализ и устранение уязвимостей в ИС. При выявлении (поиске), анализе и устранении уязвимостей в ИС должны проводиться: - выявление (поиск) уязвимостей, связанных с ошибками кода в ПО, а также ПО СрЗИ, правильностью установки и настройки СрЗИ, технических средств и ПО, а также корректностью работы СрЗИ при их взаимодействии с техническими средствами и ПО; - разработка по результатам выявления (поиска) уязвимостей отчетов с описанием выявленных уязвимостей и планом мероприятий по их устранению; - анализ отчетов с результатами поиска уязвимостей и оценки достаточности реализованных мер защиты информации; - устранение выявленных уязвимостей, в том числе путем установки обновлений ПО СрЗИ, общесистемного ПО, прикладного ПО или микро ПО технических средств; - информирование должностных лиц оператора о результатах поиска уязвимостей и оценки достаточности реализованных мер защиты информации. Оператором должны осуществляться получение из доверенных источников и установка обновлений базы признаков уязвимостей |
Оператором обеспечивается использование для выявления (поиска) уязвимостей средство анализа (контроля) защищенности (сканеров безопасности), имеющее стандартизованные (унифицированные) в соответствии с национальными стандартами описание и перечни программно-аппаратных платформ, уязвимостей ПО, ошибочных конфигураций, правил описания уязвимостей, проверочных списков, процедур тестирования и языка тестирования ИС на наличие уязвимостей, оценки последствий уязвимостей, имеющее возможность оперативного обновления базы данных выявляемых уязвимостей. Оператор должен уточнять перечень сканируемых в ИС уязвимостей с установленной им периодичностью, а также после появления информации о новых уязвимостях Оператором предоставляется доступ только администраторам безопасности к функциям выявления (поиска) уязвимостей (предоставление такой возможности только администраторам безопасности) |
|
АНЗ.2 |
Оператором должно осуществляться получение из доверенных источников и установка обновлений ПО, включая ПО СрЗИ и ПО базовой системы ввода-вывода. При контроле установки обновлений осуществляются проверки соответствия версий общесистемного, прикладного и специального ПО, включая ПО СрЗИ, установленного в ИС и выпущенного разработчиком, а также наличие отметок в эксплуатационной документации (формуляр или паспорт) об установке (применении) обновлений. Контроль установки обновлений проводится с периодичностью, установленной оператором в ОРД по защите информации и фиксируется в соответствующих журналах. При контроле установки обновлений осуществляются проверки установки обновлений баз данных признаков вирусов средств антивирусной защиты, баз решающих правил систем обнаружения вторжений, баз признаков уязвимостей средств анализа защищенности и иных баз данных, необходимых для реализации функций безопасности СрЗИ. |
|
|
АНЗ.3 |
При контроле работоспособности, параметров настройки и правильности функционирования По и СрЗИ осуществляется: - контроль работоспособности (неотключения) ПО и СрЗИ; - проверка правильности функционирования ПО и СрЗИ, объем и содержание которой определяется оператором; - контроль соответствия настроек ПО и СрЗИ параметрам настройки, приведенным в эксплуатационной документации на СЗИ и СрЗИ; - восстановление работоспособности (правильности функционирования) и параметров настройки ПО и СрЗИ (при необходимости), в том числе с использованием резервных копий и (или) дистрибутивов. |
В ИС должны обеспечиваться регистрация событий и оповещение (сигнализация, индикация) администратора безопасности о событиях, связанных с нарушением работоспособности (правильности функционирования) и параметров настройки ПО и СрЗИ |
|
АНЗ.4 |
При контроле состава технических средств, ПО и СрЗИ осуществляется: - контроль соответствия состава технических средств, ПО и СрЗИ приведенному в эксплуатационной документации с целью поддержания актуальной конфигурации ИС и принятие мер, направленных на устранение выявленных недостатков; - контроль состава технических средств, ПО и СрЗИ на соответствие сведениям действующей (актуализированной) эксплуатационной документации и принятие мер, направленных на устранение выявленных недостатков; - контроль выполнения условий и сроков действия сертификатов соответствия на СрЗИ и принятие мер, направленных на устранение выявленных недостатков; - исключение (восстановление) из состава ИС несанкционированно установленных (удаленных) технических средств, ПО и СрЗИ |
В ИС должна обеспечиваться регистрация событий безопасности, связанных с изменением состава технических средств, ПО и СрЗИ; |
|
АНЗ.5 |
При контроле правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в ИС осуществляется: - контроль правил генерации и смены паролей пользователей; - контроль заведения и удаления учетных записей пользователей; - контроль реализации правил разграничения доступом; - контроль реализации полномочий пользователей; - контроль наличия документов, подтверждающих разрешение изменений учетных записей пользователей, их параметров, правил разграничения доступом и полномочий пользователей, предусмотренных ОРД по защите информации оператора; - устранение нарушений, связанных с генерацией и сменой паролей пользователей, заведением и удалением учетных записей пользователей, реализацией правил разграничения доступом, установлением полномочий пользователей. |
В ИС должна обеспечиваться регистрация событий, связанных со сменой паролей пользователей, заведением и удалением учетных записей пользователей, изменением правил разграничения доступом и полномочий пользователей |
|
Обеспечение целостности информационной системы и информации | ||
|
ОЦЛ.1 |
В ИС должен осуществляться контроль целостности ПО, включая ПО СрЗИ. Контроль целостности ПО, включая ПО СрЗИ, должен предусматривать: - контроль целостности ПО СрЗИ, включая их обновления, по наличию имен (идентификаторов) и (или) по контрольным суммам компонентов СрЗИ в процессе загрузки и (или) динамически в процессе работы ИС; - контроль целостности компонентов ПО (за исключением СрЗИ), определяемого оператором исходя из возможности реализации угроз безопасности информации, по наличию имен (идентификаторов) компонентов ПО и (или) по контрольным суммам в процессе загрузки и (или) динамически в процессе работы ИС; - контроль применения средств разработки и отладки программ в составе ПО ИС; - тестирование с периодичностью, установленной оператором функций безопасности СрЗИ, в том числе с помощью тест-программ, имитирующих попытки НСД, и (или) специальных программных средств, в соответствии с АНЗ.1 и АНЗ.2; - обеспечение физической защиты технических средств ИС в соответствии с ЗТС.2 и ЗТС.3. В случае если функциональные возможности ИС должны предусматривать применение в составе ее ПО средств разработки и отладки программ, оператором обеспечивается выполнение процедур контроля целостности ПО после завершения каждого процесса функционирования средств разработки и отладки программ. |
В ИС контроль целостности СрЗИ должен осуществляться по контрольным суммам всех компонентов СрЗИ, как в процессе загрузки, так и динамически в процессе работы системы Оператором исключается возможность использования средств разработки и отладки программ во время обработки и (или) хранения информации в целях обеспечения целостности программной среды |
|
ОЦЛ.4 |
Оператором должно обеспечиваться обнаружение и реагирование на поступление незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к функционированию ИС (защита от спама). Защита от спама реализуется на точках входа в ИС (выхода) информационных потоков (межсетевые экраны, почтовые серверы, Web-серверы, прокси-серверы и серверы удаленного доступа), а также на автоматизированных рабочих местах, серверах и (или) мобильных технических средствах, подключенных к сетям связи общего пользования, для обнаружения и реагирования на поступление по электронной почте незапрашиваемых электронных сообщений (писем, документов) или в приложениях к электронным письмам. Защита от спама обеспечивается применением специализированных СрЗИ, реализующих следующие механизмы защиты: - фильтрация по содержимому электронных сообщений (писем, документов) с использованием критериев, позволяющих относить сообщения к спаму сигнатурным и (или) эвристическим методами; - фильтрация на основе информации об отправителе электронного сообщения (в том числе с использованием "черных" списков (запрещенные отправители) и (или) "белых" списков (разрешенные отправители). Оператором должно осуществляться обновление базы "черных" ("белых") списков и контроль целостности базы "черных" ("белых") списков. |
|
|
Защита технических средств | ||
|
ЗТС.2 |
Оператором должна обеспечиваться КЗ, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и СрЗИ, а также средства обеспечения функционирования. |
|
|
ЗТС.3 |
Оператором должны обеспечиваться контроль и управление физическим доступом к техническим средствам, СрЗИ, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, СрЗИ и средствам обеспечения функционирования ИС в помещения и сооружения, в которых они установлены. Контроль и управление физическим доступом должны предусматривать: - определение лиц, допущенных к техническим средствам, СрЗИ, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены; - санкционирование физического доступа к техническим средствам, СрЗИ, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены; - учет физического доступа к техническим средствам, СрЗИ, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены |
|
|
ЗТС.4 |
Оператором должно осуществляться размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр. Размещение устройств вывода (отображения, печати) информации должно исключать возможность несанкционированного просмотра выводимой информации, как из-за пределов КЗ, так и в пределах КЗ. Не следует размещать устройства вывода (отображения, печати) информации напротив оконных проемов, входных дверей, технологических отверстий, в коридорах, холлах и иных местах, доступных для несанкционированного просмотра. |
|
|
Защита информационной системы, ее средств, систем связи и передачи данных | ||
|
ЗИС.1 |
В ИС должно быть обеспечено разделение функциональных возможностей по управлению (администрированию) ИС, управлению (администрированию) системой защиты информации (функций безопасности) и функциональных возможностей пользователей по обработке информации. Функциональные возможности по управлению (администрированию) ИС и управлению (администрированию) системой защиты информации включают функции по управлению базами данных, прикладным ПО, телекоммуникационным оборудованием, рабочими станциями, серверами, СрЗИ и иные функции, требующие высоких привилегий. Разделение функциональных возможностей обеспечивается на физическом и (или) логическом уровне путем выделения части программно-технических средств ИС, реализующих функциональные возможности по управлению (администрированию) ИС и управлению (администрированию) системой защиты информации, в отдельный домен, использования различных автоматизированных рабочих мест и серверов, различных типов ОС, разных способов аутентификации, различных сетевых адресов, выделенных каналов управления и (или) комбинаций данных способов, а также иными методами. |
В ИС должно обеспечиваться выделение автоматизированных рабочих мест для администраторов безопасности |
|
ЗИС.3 |
Оператором должна быть обеспечена защита информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы КЗ. Защита информации обеспечивается путем защиты каналов связи от несанкционированного физического доступа (подключения) к ним и (или) применения в соответствии с законодательством Российской Федерации СКЗИ или иными методами. |
|
|
ЗИС.7 |
Оператором должны осуществляться контроль санкционированного и исключение несанкционированного использования технологий мобильного кода (активного контента) В ИС, в том числе регистрация событий, связанных с использованием технологии мобильного кода, их анализ и реагирование на нарушения, связанные с использованием технологии мобильного кода. Технология мобильного кода включает, в том числе использование Java, JavaScript, ActiveX, PDF, Postscript, Flash-анимация и VBScript и иных технологий. При контроле использования технологий мобильного кода должно быть обеспечено: - определение перечня мобильного кода и технологий мобильного кода разрешенных и (или) запрещенных для использования В ИС; - определение разрешенных мест распространения (серверы ИС) и использования мобильного кода (автоматизированные рабочие места, мобильные технические средства ИС) и функций ИС, для которых необходимо применение технологии мобильного кода; - регистрация и анализ событий, связанных с разработкой, приобретением или внедрением технологии мобильного кода; - исключение возможности использования запрещенного мобильного кода В ИС, а также внедрение мобильного кода в местах, не разрешенных для его установки. |
В ИС должны быть реализованы механизмы обнаружения и анализа мобильного кода для выявления фактов несанкционированного использования мобильного кода и выполнения действий по реагированию (оповещение администраторов, изоляция мобильного кода (перемещение в карантин), блокирование мобильного кода, удаление мобильного кода) и иные действия, определяемые оператором. |
|
ЗИС.11 |
В ИС должно осуществляться обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов (защита от атак типа "человек посередине"). Для подтверждения подлинности сторон сетевого соединения (сеанса взаимодействия) и защиты сетевых устройств и сервисов от подмены должна осуществляться их аутентификация в соответствии с ИАФ.2 и ЗИС.10. Контроль целостности передаваемой информации должен включать проверку целостности передаваемых пакетов (в частности, в соответствии с ЗИС.3). |
|
|
ЗИС.12 |
Оператором должно обеспечиваться исключение возможности отрицания пользователем факта отправки информации другому пользователю. Для исключения возможности отрицания пользователем факта отправки информации другому пользователю должны осуществляться: - определение объектов или типов информации, для которых требуется обеспечение неотказуемости отправки (например, сообщения электронной почты); - обеспечение целостности информации при ее подготовке к передаче и непосредственной ее передаче по каналам связи в соответствии с ЗИС.3; - регистрация событий, связанных с отправкой информации другому пользователю в соответствии с РСБ.2. |
- |
|
ЗИС.13 |
Оператором должно обеспечиваться исключение возможности отрицания пользователем факта получения информации от другого пользователя. Для исключения возможности отрицания пользователем факта получения информации должны осуществляться: - определение объектов или типов информации, для которых требуется обеспечение неотказуемости получения (сообщения электронной почты); - обеспечение целостности полученной информации в соответствии с ЗИС.3; - регистрация событий, связанных с получением информации от другого пользователя в соответствии с РСБ.2. |
- |
|
ЗИС.15 |
В ИС должна обеспечиваться защита архивных файлов, параметров настройки СрЗИ и ПО, иных данных, не подлежащих изменению в процессе обработки информации. Защита архивных файлов, параметров настройки СрЗИ и ПО и иных данных, не подлежащих изменению в процессе обработки информации, обеспечивается принятием мер защиты информации, определенных оператором в соответствии с настоящим методическим документом, направленных на обеспечение их конфиденциальности и целостности. Защита данных, не подлежащих изменению в процессе обработки информации, обеспечивается в отношении информации, хранящейся на жестких магнитных дисках, дисковых накопителях и иных накопителях В ИС. |
- |
|
ЗИС.17 |
Оператором должно осуществляться разбиение ИС на сегменты (сегментирование ИС) и обеспечиваться защита периметров сегментов ИС. Сегментирование ИС проводится с целью построения многоуровневой (эшелонированной) системы защиты информации путем построения сегментов на различных физических доменах или средах. Принципы сегментирования ИС определяются оператором с учетом функциональных и технологических особенностей процесса обработки информации и анализа угроз безопасности информации и должны заключаться в снижении вероятности реализации угроз и (или) их локализации в рамках одного сегмента. Сегментирование ИС также может проводиться с целью разделения ИС на сегменты, имеющие различные классы защищенности ИС. При сегментировании ИС должна быть обеспечена защита периметров сегментов ИС в соответствии с УПД.3 и ЗИС.23. |
- |
|
ЗИС.22 |
В ИС должна обеспечиваться защита от угроз безопасности информации, направленных на отказ в обслуживании этой системы. Оператором должен быть определен перечень угроз (типов угроз) безопасности информации, направленных на отказ в обслуживании. Защита от угроз безопасности информации, направленных на отказ в обслуживании, осуществляется посредством реализации В ИС мер защиты ИС в соответствии с ЗИС.23 и повышенными характеристиками производительности телекоммуникационного оборудования и каналов передачи совместно с резервированием информации и технических средств, ПО, каналов передачи информации в соответствии с ОДТ.2, ОДТ.4 и ОДТ.5. |
- |
|
ЗИС.23 |
В ИС должна осуществляться защита периметра (физических и (или) логических границ) ИС при ее взаимодействии с иными ИС и информационно-телекоммуникационными сетями, предусматривающая: - управление (контроль) входящими в ИС и исходящими из ИС информационными потоками на физической и (или) логической границе ИС (сегментов ИС); - обеспечение взаимодействия ИС и (или) ее сегментов с иными ИС и сетями только через сетевые интерфейсы, которые обеспечивают управление (контроль) информационными потоками с использованием СрЗИ (управляемые (контролируемые) сетевые интерфейсы), установленных на физическом и (или) логическом периметре ИС или ее отдельных сегментов (маршрутизаторов, межсетевых экранов, коммутаторов, прокси-серверов, шлюзов безопасности, средств построения виртуальных частных сетей и иных СрЗИ). |
В ИС должна быть обеспечена возможность размещения публичных общедоступных ресурсов (в частности, общедоступный веб-сервер), взаимодействующих с ИС через отдельные физические управляемые (контролируемые) сетевые интерфейсы. В ИС должно быть обеспечено предоставление доступа во внутренние сегменты ИС (демилитаризованную зону) из внешних ИС и сетей только через средства защиты периметра (за исключением внутренних сегментов, которые специально выделены для такого взаимодействия). Оператор должен ограничить количество точек доступа в ИС из внешних ИС и сетей до минимально необходимого числа для решения постановленных задач, а также обеспечивающего постоянный и всесторонний контроль входящих и исходящих информационных потоков. Оператором В ИС: а) должен применяться отдельный физический управляемый (контролируемый) сетевой интерфейс для каждого внешнего телекоммуникационного сервиса; б) должны быть установлены правила управления информационными потоками для каждого физического управляемого (контролируемого) сетевого интерфейса; в) должна обеспечиваться защита информации при ее передаче по каналам связи, имеющим выход за пределы КЗ (при необходимости), путем применения организационно-технических мер или криптографических методов в соответствии с законодательством Российской Федерации; В ИС должен быть исключен выход (вход) через управляемые (контролируемые) сетевые интерфейсы информационных потоков по умолчанию (реализация принципа "запрещено все, что не разрешено"). |
|
ЗИС.24 |
В ИС должно осуществляться завершение сетевых соединений (например, открепление пары порт/адрес (ТСР/IP)) по их завершении и (или) по истечении заданного оператором временного интервала неактивности сетевого соединения. |
|