Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приложение N 2
к Мерам защиты информации
в государственных информационных
системах
Содержание базовых мер защиты информации для соответствующего класса защищенности информационной системы
Условное обозначение и номер меры |
Меры защиты информации в информационных системах |
Классы защищенности информационной системы |
|||
4 |
3 |
2 |
1 |
||
I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) | |||||
Идентификация и аутентификация пользователей, являющихся работниками оператора |
+ |
+ |
+ 1а, 2а, 3 |
+ 1а, 2а, 3, 4 |
|
Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных |
|
|
+ |
+ |
|
Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов |
+ |
+ 1а, 2а |
+ 1а, 2а |
+ 1б, 2б |
|
Управление средствами аутентификации, в том числе хранение выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации |
+ 1а |
+ 1б |
+ 1в |
+ 1г |
|
Защита обратной связи при вводе аутентификационной информации |
+ |
+ |
+ |
+ |
|
Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей) |
+ |
+ |
+ |
+ |
|
Идентификация и аутентификация объектов файловой системы, запускаемых и исполняемых модулей, объектов систем управления базами данных, объектов, создаваемых прикладным и специальным программным обеспечением, иных объектов доступа |
|
|
|
|
|
II. Управление доступом субъектов доступа к объектам доступа (УПД) | |||||
Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей |
+ |
+ 1, 2 |
+ 1, 2, 3а |
+ 1, 2, 3б |
|
Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа |
+ |
+ 1, 2, 3 |
+ 1, 2, 3 |
+ 1, 2, 3, 4 |
|
Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами |
|
|
+ |
+ |
|
Разделение обязанностей полномочий (ролей), администраторов и лиц, обеспечивающих функционирование информационной системы |
|
+ |
+ |
+ 1 |
|
Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы |
|
+ |
+ |
+ 1 |
|
Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) |
+ |
+ |
+ |
+ 1 |
|
Предупреждение пользователя при его входе в информационную систему о том, что в информационной системе реализованы меры защиты информации, и о необходимости соблюдения им установленных оператором правил обработки информации |
|
|
|
|
|
Оповещение пользователя после успешного входа в информационную систему о его предыдущем входе в информационную систему |
|
|
|
|
|
Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы |
|
|
|
+ 1а, 3 |
|
Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу |
|
+ |
+ 1а, 2 |
+ 1б, 2 |
|
Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации |
+ |
+ |
+ |
+ |
|
Поддержка и сохранение атрибутов безопасности (меток безопасности), связанных с информацией в процессе ее хранения и обработки |
|
|
|
|
|
Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети |
+ |
+ 2, 3 |
+ 2, 3, 5 |
+ 1, 2, 3, 5 |
|
Регламентация и контроль использования в информационной системе технологий беспроводного доступа |
+ |
+ 1 |
+ 1, 3 |
+ 1, 3, 4, 5 |
|
Регламентация и контроль использования в информационной системе мобильных технических средств |
+ |
+ |
+ 1, 2 |
+ 1, 2 |
|
Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы) |
+ 1а |
+ 1а, 1б |
+ 1а, 1б |
+ 1а, 1б |
|
Обеспечение доверенной загрузки средств вычислительной техники |
|
|
+ 1 |
+ 2 |
|
III. Ограничение программной среды (ОПС) | |||||
Управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспечения |
|
|
|
+ 1, 2, 3 |
|
Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения |
|
|
+ |
+ 1 |
|
Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов |
+ |
+ |
+ |
+ |
|
Управление временными файлами, в том числе запрет, разрешение, перенаправление записи, удаление временных файлов |
|
|
|
|
|
IV. Защита машинных носителей информации (ЗНИ) | |||||
Учет машинных носителей информации |
+ |
+ |
+ 1а |
+ 1а, 1б |
|
Управление доступом к машинным носителям информации |
+ |
+ |
+ |
+ |
|
Контроль перемещения машинных носителей информации за пределы контролируемой зоны |
|
|
|
|
|
Исключение возможности несанкционированного ознакомления с содержанием информации, хранящейся на машинных носителях, и (или) использования носителей информации в иных информационных системах |
|
|
|
|
|
Контроль использования интерфейсов ввода (вывода) информации на машинные носители информации |
|
|
+ |
+ 1 |
|
Контроль ввода (вывода) информации на машинные носители информации |
|
|
|
|
|
Контроль подключения машинных носителей информации |
|
|
|
|
|
Уничтожение (стирание) информации на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) |
+ 5а |
+ 1, 5б |
+ 1, 5в |
+ 1, 2, 3, 5г |
|
V. Регистрация событий безопасности (РСБ) | |||||
Определение событий безопасности, подлежащих регистрации, и сроков их хранения |
+ |
+ |
+ 1, 3, 4а |
+ 1, 2, 3, 4б |
|
Определение состава и содержания информации о событиях безопасности, подлежащих регистрации |
+ |
+ |
+ 1а |
+ 1а |
|
Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения |
+ |
+ |
+ 1 |
+ 1 |
|
Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти |
+ |
+ |
+ |
+ 1а, 2 |
|
Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них |
+ |
+ |
+ |
+ 1 |
|
Генерирование временных меток и (или) синхронизация системного времени в информационной системе |
+ |
+ |
+ |
+ 1 |
|
Защита информации о событиях безопасности |
+ |
+ |
+ 1 |
+ 1 |
|
Обеспечение возможности просмотра и анализа информации о действиях отдельных пользователей в информационной системе |
|
|
|
|
|
VI. Антивирусная защита (АВЗ) | |||||
Реализация антивирусной защиты |
+ |
+ 1 |
+ 1, 2 |
+ 1, 2 |
|
Обновление базы данных признаков вредоносных компьютерных программ (вирусов) |
+ |
+ |
+ 1 |
+ 1 |
|
VII. Обнаружение вторжений (СОВ) | |||||
Обнаружение вторжений |
|
|
+ 2 |
+ 2 |
|
Обновление базы решающих правил |
|
|
+ |
+ 1, 2, 3 |
|
VIII. Контроль (анализ) защищенности информации (АНЗ) | |||||
Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей |
|
+ 1, 4 |
+ 1, 2, 4 |
+ 1, 2, 4, 7 |
|
Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации |
+ |
+ |
+ |
+ |
|
Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации |
|
+ |
+ 1 |
+ 1 |
|
Контроль состава технических средств, программного обеспечения и средств защиты информации |
|
+ |
+ 1 |
+ 1, 2 |
|
Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе |
|
+ |
+ 1 |
+ 1 |
|
IX. Обеспечение целостности информационной системы и информации (ОЦЛ) | |||||
Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации |
|
|
+ 1, 3 |
+ 1, 3 |
|
Контроль целостности информации, содержащейся в базах данных информационной системы |
|
|
|
|
|
Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций |
+ |
+ |
+ |
+ 1 |
|
Обнаружение и реагирование на поступление в информационную систему незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к функционированию информационной системы (защита от спама) |
|
|
+ |
+ |
|
Контроль содержания информации, передаваемой из информационной системы (контейнерный, основанный на свойствах объекта доступа, и контентный, основанный на поиске запрещенной к передаче информации с использованием сигнатур, масок и иных методов), и исключение неправомерной передачи информации из информационной системы |
|
|
|
|
|
Ограничение прав пользователей по вводу информации в информационную систему |
|
|
|
+ |
|
Контроль точности, полноты и правильности данных, вводимых в информационную систему |
|
|
|
|
|
Контроль ошибочных действий пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действиях |
|
|
|
|
|
X. Обеспечение доступности информации (ОДТ) | |||||
Использование отказоустойчивых технических средств |
|
|
|
+ |
|
Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы |
|
|
|
+ |
|
Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование |
|
|
+ |
+ 1 |
|
Периодическое резервное копирование информации на резервные машинные носители информации |
|
|
+ 1, 2 |
+ 1, 3 |
|
Обеспечение возможности восстановления информации с резервных машинных носителей информации (резервных копий) в течение установленного временного интервала |
|
|
+ |
+ 1 |
|
Кластеризация информационной системы и (или) ее сегментов |
|
|
|
|
|
Контроль состояния и качества предоставления уполномоченным лицом вычислительных ресурсов (мощностей), в том числе по передаче информации |
|
|
+ |
+ |
|
XI. Защита среды виртуализации (ЗСВ) | |||||
Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации |
+ |
+ |
+ 1 |
+ 1 |
|
Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин |
+ |
+ 1, 2 |
+ 1, 2 |
+ 1, 2 |
|
Регистрация событий безопасности в виртуальной инфраструктуре |
|
+ |
+ |
+ |
|
Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры |
|
|
+ |
+ 1, 2 |
|
Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера), серверов управления виртуализацией |
|
|
|
|
|
Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных |
|
|
+ 1 |
+ 1, 2 |
|
Контроль целостности виртуальной инфраструктуры и ее конфигураций |
|
|
+ 3 |
+ 1, 3 |
|
Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры |
|
|
+ |
+ 1, 2, 3 |
|
Реализация и управление антивирусной защитой в виртуальной инфраструктуре |
|
+ |
+ 1 |
+ 1 |
|
Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки информации отдельным пользователем и (или) группой пользователей |
|
|
+ |
+ 2 |
|
XII. Защита технических средств (ЗТС) | |||||
Защита информации, обрабатываемой техническими средствами, от ее утечки по техническим каналам |
|
|
|
|
|
Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования |
+ |
+ |
+ |
+ |
|
Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы и помещения и сооружения, в которых они установлены |
+ |
+ |
+ |
+ |
|
Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр |
+ |
+ |
+ |
+ |
|
Защита от внешних воздействий (воздействий окружающей среды, нестабильности электроснабжения, кондиционирования и иных внешних факторов) |
|
|
|
+ |
|
XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС) | |||||
Разделение в информационной системе функций по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты информации, функций по обработке информации и иных функций информационной системы |
|
|
+ 3 |
+ 3 |
|
Предотвращение задержки или прерывания выполнения процессов с высоким приоритетом со стороны процессов с низким приоритетом |
|
|
|
|
|
Обеспечение защиты информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи |
+ |
+ |
+ |
+ |
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.