|
информационной системе технологий беспроводного |
|
||||
|
доступа |
|
|
|
|
|
|
|
|
||||
УПД.15 |
Регламентация и контроль использования в |
Система контроля |
||||
|
информационной системе мобильных технических |
и управления |
||||
|
средств |
|
|
|
|
|
|
|
|
|
|
доступом |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
«ControlGate» |
УПД.16 |
Управление взаимодействием с информационными |
Система контроля |
||||
|
системами |
сторонних организаций |
(внешние |
и управления |
||
|
информационные системы) |
|
|
|||
|
|
|
доступом |
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
«ControlGate» |
УПД.17 |
Обеспечение |
доверенной |
загрузки |
средств |
Система контроля |
|
|
вычислительной техники |
|
|
и управления |
||
|
|
|
|
|
|
|
|
|
|
|
|
|
доступом |
|
|
|
|
|
|
«ControlGate» |
|
III. Ограничение программной среды (ОПС) |
|
||||
ОПС.1 |
Управление запуском (обращениями) компонентов |
Система |
||||
|
программного обеспечения, в том числе определение |
виртуализации |
||||
|
запускаемых компонентов, настройка параметров |
Proxmox и |
||||
|
запуска компонентов, контроль за запуском |
встроенный |
||||
|
компонентов программного обеспечения |
|
мониторинг и |
|||
|
|
|
|
|
|
операционная |
|
|
|
|
|
|
система на |
|
|
|
|
|
|
виртуальной |
|
|
|
|
|
|
машине |
ОПС.2 |
Управление |
|
установкой |
(инсталляцией) |
Инструмент для |
|
|
компонентов программного обеспечения, в том числе |
установки пакетов |
||||
|
определение компонентов, подлежащих установке, |
для операционных |
||||
|
настройка параметров установки компонентов, |
систем на базе |
||||
|
контроль за установкой компонентов программного |
дистрибутивов |
||||
|
обеспечения |
|
|
|
|
Debian и Ubuntu – |
|
|
|
|
|
|
APT |
ОПС.3 |
Установка (инсталляция) только разрешенного к |
Нет ограничений |
||||
|
использованию программного обеспечения и (или) |
|
||||
|
его компонентов |
|
|
|
|
|
|
IV. Защита машинных носителей информации (ЗНИ) |
|||||
ЗНИ.1 |
Учет машинных носителей информации |
|
СЗИ НСД |
|||
|
|
|
|
|
|
«ИНАФ» |
ЗНИ.2 |
Управление доступом к машинным носителям |
СЗИ НСД |
||||
|
информации |
|
|
|
|
«ИНАФ» |
|
|
|
|
|
||
ЗНИ.5 |
Контроль |
использования |
интерфейсов ввода |
СЗИ НСД «ИНАФ» |
||
|
(вывода) информации на машинные носители |
|
||||
|
информации |
|
|
|
|
|
ЗНИ.8 |
Уничтожение (стирание) информации на машинных |
СЗИ НСД |
||||||
|
носителях при их передаче между пользователями, в |
«ИНАФ» |
||||||
|
сторонние организации для ремонта или утилизации, |
|
||||||
|
а также контроль |
|
|
|
|
|
||
|
уничтожения (стирания) |
|
|
|
|
|
||
|
V. Регистрация событий безопасности (РСБ) |
|
||||||
РСБ.1 |
Определение событий безопасности, подлежащих |
СЗИ НСД «ИНАФ» |
||||||
|
регистрации, и сроков их хранения |
|
|
|
|
|||
|
|
|
||||||
РСБ.2 |
Определение состава и содержания информации о |
СЗИ НСД «ИНАФ» |
||||||
|
событиях безопасности, подлежащих регистрации |
|
|
|||||
|
|
|
||||||
РСБ.3 |
Сбор, запись и хранение информации о событиях |
СЗИ НСД |
||||||
|
безопасности в течении установленного времени |
«ИНАФ» |
||||||
|
хранения |
|
|
|
|
|
|
|
РСБ.4 |
Реагирование на сбои при регистрации событий |
СЗИ НСД |
||||||
|
безопасности, в том числе аппаратные и программные |
«ИНАФ» |
||||||
|
ошибки, сбои в механизмах сбора информации |
и |
|
|||||
|
достижение предела или |
|
|
|
|
|
||
|
переполнения объема (емкости) памяти |
|
|
|
||||
РСБ.5 |
Мониторинг (просмотр, анализ) |
результатов |
СЗИ НСД «ИНАФ» |
|||||
|
регистрации событий безопасности и реагирование |
|
|
|||||
|
на них |
|
|
|
|
|
|
|
|
|
|
||||||
РСБ.6 |
Генерирование временных меток и (или) |
СЗИ НСД |
||||||
|
синхронизация |
системного |
времени |
в |
«ИНАФ» |
|||
|
информационной системе |
|
|
|
|
|||
РСБ.7 |
Защита информации о событиях безопасности |
|
СЗИ НСД «ИНАФ» |
|||||
|
|
|
|
|
||||
|
|
VI. Антивирусная защита (АВЗ) |
|
|
||||
АВЗ.1 |
Реализация антивирусной защиты |
|
|
|
Антивирус |
|||
|
|
|
|
|
|
|
|
Kaspersky Optimum |
|
|
|
|
|
|
|
|
Security |
АВЗ.2 |
Обновление базы данных признаков вредоносных |
Антивирус |
||||||
|
компьютерных программ (вирусов) |
|
|
|
Kaspersky Optimum |
|||
|
|
|
|
|
|
|
|
Security |
|
VII. Обнаружение вторжений (СОВ) |
|
|
|||||
СОВ.1 |
Обнаружение вторжений |
|
|
|
СЗИ НСД «ИНАФ» |
|||
СОВ.2 |
Обновление базы решающих правил |
|
|
|
СЗИ НСД «ИНАФ» |
|||
|
VIII. Контроль (анализ) защищенности информации (АНЗ) |
|||||||
|
|
|
|
|||||
АНЗ.1 |
Выявление, анализ уязвимостей информационной |
|
MaxPatrol |
|||||
|
системы и оперативное устранение вновь |
|
||||||
|
выявленных уязвимостей |
|
|
|
|
|
||
АНЗ.2 |
Контроль |
установки |
обновлений |
|
программного |
Сертифицированн |
||
|
обеспечения, |
|
включая |
обновление |
|
программного |
||
|
|
|
ая операционная |
|||||
|
обеспечения средств защиты информации |
|
||||||
|
|
система |
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
«ControlGate» |
АНЗ.3 |
Контроль |
работоспособности, |
|
параметров |
Операционная |
||||
|
настройки |
и |
правильности |
функционирования |
система Linux |
||||
|
программного обеспечения и средств защиты |
Ubuntu |
|||||||
|
информации |
|
|
|
|
|
|
|
|
АНЗ.4 |
Контроль |
состава |
технических |
средств, |
Операционная |
||||
|
программного обеспечения и средств защиты |
система Linux |
|||||||
|
информации |
|
|
|
|
|
|
Ubuntu |
|
АНЗ.5 |
Контроль правил генерации и смены паролей |
Операционная |
|||||||
|
пользователей, заведения и удаления учетных записей |
система Linux |
|||||||
|
пользователей, |
реализации правил |
разграничения |
Ubuntu |
|||||
|
доступом, |
полномочий пользователей |
|
|
|||||
|
в информационной системе |
|
|
|
|
|
|||
|
|
|
IX. Обеспечение целостности |
|
|||||
|
информационной системы и информации (ОЦЛ) |
||||||||
ОЦЛ.1 |
Контроль целостности программного обеспечения, |
Операционная |
|||||||
|
включая программное обеспечение средств защиты |
система Linux |
|||||||
|
информации |
|
|
|
|
|
|
Ubuntu |
|
ОЦЛ.3 |
Обеспечение |
|
возможности |
|
восстановления |
Операционная |
|||
|
программного обеспечения, включая программное |
система Linux |
|||||||
|
обеспечение средств защиты информации, при |
Ubuntu и штатные |
|||||||
|
возникновении нештатных ситуаций |
|
|
системы |
|||||
|
|
|
|
|
|
|
|
|
резервного |
|
|
|
|
|
|
|
|
|
копирования |
ОЦЛ.4 |
Обнаружение и реагирование на поступление в |
На серверах не |
|||||||
|
информационную |
систему |
незапрашиваемых |
установлен |
|||||
|
электронных сообщений (писем, документов) и иной |
почтовый клиент |
|||||||
|
информации, не относящихся к функционированию |
|
|||||||
|
информационной системы (защита от спама) |
|
|||||||
ОЦЛ.6 |
Ограничение прав пользователей по вводу |
Операционная |
|||||||
|
информации в информационную систему |
|
система Linux |
||||||
|
|
|
|
|
|
|
|
|
Ubuntu |
X. Обеспечение доступности информации (ОДТ)
ОДТ.1 Использование отказоустойчивых технических Сертифицированна средств я операционная
система
«ControlGate»
ОДТ.2 |
Резервирование |
|
технических |
средств, |
Сертифицированна |
||||
|
программного |
обеспечения, |
каналов |
передачи |
я операционная |
||||
|
информации, |
|
|
средств |
|
обеспечения |
|||
|
|
|
|
система |
|||||
|
функционирования информационной системы |
|
|||||||
|
|
«ControlGate» |
|||||||
|
|
|
|
|
|
|
|
|
|
ОДТ.3 |
Контроль |
безотказного |
|
функционирования |
Сертифицированна |
||||
|
технических средств, |
обнаружение и локализация |
|
я операционная |
|||||
|
отказов функционирования, |
принятие |
мер |
по |
|||||
|
система |
||||||||
|
восстановлению |
отказавших |
|
средств |
и |
их |
|||
|
|
«ControlGate» |
|||||||
|
тестирование |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ОДТ.4 |
Периодическое |
|
резервное |
копирование |
Самописные |
||||
|
информации на резервные машинные носители |
компоненты |
|||||||
|
информации |
|
|
|
|
|
|
|
резервного |
|
|
|
|
|
|
|
|
|
копирования |
|
|
|
|
|
|
|
|
|
данных в |
|
|
|
|
|
|
|
|
|
информационных |
|
|
|
|
|
|
|
|
|
системах |
ОДТ.5 |
Обеспечение |
|
возможности |
восстановления |
Самописные |
||||
|
информации с резервных машинных носителей |
компоненты |
|||||||
|
информации (резервных копий) в течении |
|
резервного |
||||||
|
установленного временного интервала |
|
|
копирования |
|||||
|
|
|
|
|
|
|
|
|
данных в |
|
|
|
|
|
|
|
|
|
информационных |
|
|
|
|
|
|
|
|
|
системах |
ОДТ.7 |
Контроль состояния и качества предоставления |
Система |
|||||||
|
уполномоченным лицом вычислительных ресурсов |
виртуализации |
|||||||
|
(мощностей), в том числе по передаче информации |
|
Proxmox и |
||||||
|
|
|
|
|
|
|
|
|
встроенный |
|
|
|
|
|
|
|
|
|
мониторинг |
|
XI. Защита среды виртуализации (ЗСВ) |
|
|
||||||
ЗСВ.1 |
Идентификация |
и |
аутентификация |
субъектов |
Система |
||||
|
доступа и объектов доступа в виртуальной |
виртуализации |
|||||||
|
инфраструктуре, в том числе администраторов |
|
Proxmox и |
||||||
|
управления средствами виртуализации |
|
|
операционная |
|||||
|
|
|
|
|
|
|
|
|
система Linux |
|
|
|
|
|
|
|
|
|
Ubuntu |
ЗСВ.2 |
Управление доступом субъектов доступа к |
Система |
|||||||
|
объектам доступа в виртуальной инфраструктуре, в |
виртуализации |
|||||||
|
том числе внутри виртуальных машин |
|
|
Proxmox |
|||||
ЗСВ.3 |
Регистрация событий безопасности в виртуальной |
Система |
|
инфраструктуре |
виртуализации |
|
|
Proxmox |
ЗСВ.4 |
Управление (фильтрация, маршрутизация, контроль |
Система |
|
соединения, однонаправленная передача) потоками |
виртуализации |
|
информации между компонентами виртуальной |
Proxmox |
|
инфраструктуры, а также по периметру виртуальной |
|
|
инфраструктуры |
|
ЗСВ.6 |
Управление перемещением виртуальных машин |
Система |
|
(контейнеров) и обрабатываемых на них данных |
виртуализации |
|
|
Proxmox |
ЗСВ.7 |
Контроль |
целостности |
виртуальной |
Система |
||||
|
инфраструктуры и ее конфигураций |
|
|
виртуализации |
||||
|
|
|
|
|
|
|
|
Proxmox |
ЗСВ.8 |
Резервное копирование |
данных, резервирование |
Система |
|||||
|
технических средств, программного обеспечения |
виртуализации |
||||||
|
виртуальной инфраструктуры, а также каналов связи |
Proxmox |
||||||
|
внутри виртуальной инфраструктуры |
|
|
|
||||
ЗСВ.9 |
Реализация и управление антивирусной защитой в |
СЗИ НСД «ИНАФ» |
||||||
|
виртуальной инфраструктуре |
|
|
|
|
|||
|
|
|
|
|
||||
ЗСВ.10 |
Разбиение |
виртуальной |
инфраструктуры на |
Система |
||||
|
сегменты |
|
(сегментирование |
виртуальной |
виртуализации |
|||
|
инфраструктуры) для обработки информации |
Proxmox |
||||||
|
отдельным пользователем и (или) группой |
|
|
|||||
|
пользователей |
|
|
|
|
|
|
|
|
|
XII. Защита технических средств (ЗТС) |
|
|||||
|
|
|
|
|||||
ЗТС.2 |
Организация |
контролируемой зоны, в пределах |
Организационные |
|||||
|
которой |
постоянно размещаются |
стационарные |
меры |
||||
|
технические |
средства, |
обрабатывающие |
|
||||
|
информацию, и средства защиты информации, а |
|
||||||
|
также средства обеспечения функционирования |
|
||||||
ЗТС.3 |
Контроль и управление физическим доступом к |
Организационные |
||||||
|
техническим |
средствам, |
средствам |
защиты |
меры |
|||
|
информации, |
средствам |
обеспечения |
|
||||
|
функционирования, а также в помещения и |
|
||||||
|
сооружения, в которых они установлены, |
|
||||||
|
исключающие |
несанкционированный |
физический |
|
||||
|
доступ к средствам обработки информации,средствам |
|
||||||
|
защиты информации и средствам обеспечения |
|
||||||
|
функционирования информационной |
|
|
|
||||
|
системы и помещения и сооружения, в которых они |
|
||||||
|
установлены |
|
|
|
|
|
|
|
ЗТС.4 |
Размещение |
устройств вывода (отображения) |
Организационные |
|||||
|
информации, |
исключающее |
|
ее |
меры |
|||
|
несанкционированный просмотр |
|
|
|
||||
ЗТС.5 |
Защита |
от |
внешних |
воздействий |
(воздействий |
Источники |
||
|
окружающей |
среды, |
нестабильности |
бесперебойного |
||||
|
электроснабжения, кондиционирования и иных |
питания, система |
||||||
|
внешних факторов) |
|
|
|
|
активного |
||
|
|
|
|
|
|
|
|
водоохлаждения, |
|
|
|
|
|
|
|
|
резервная система |
|
|
|
|
|
|
|
|
охлаждения |
|
|
XIII. Защита информационной системы, |
|
|||||
|
ее средств, систем связи и передачи данных (ЗИС) |
|||||||
ЗИС.1 |
Разделение в информационной системе функций по |
Организационные |
|
управлению (администрированию) информационной |
меры |
|
|
|
|
системой, |
управлению |
(администрированию) |
|
||||
|
системой защиты информации, функций по обработке |
|
||||||
|
информации и иных функций |
|
|
|
|
|
||
|
информационной системы |
|
|
|
|
|
||
ЗИС.3 |
Обеспечение защиты |
информации от |
раскрытия, |
Координатор |
||||
|
модификации и навязывания (ввода ложной |
|
||||||
|
информации) при ее передаче (подготовке к передаче) |
|
||||||
|
по каналам связи, имеющим выход за пределы |
|
||||||
|
контролируемой зоны, в том числе |
|
|
|
|
|||
|
беспроводным каналам связи |
|
|
|
|
|
||
ЗИС.5 |
Запрет несанкционированной удаленной активации |
СЗИ НСД «ИНАФ» |
||||||
|
видеокамер, микрофонов и иных периферийных |
|
||||||
|
устройств, которые могут активироваться удаленно, |
|
||||||
|
и оповещение пользователей об активации таких |
|
|
|||||
|
устройств |
|
|
|
|
|
|
|
ЗИС.7 |
Контроль |
санкционированного |
и |
исключение |
СЗИ НСД «ИНАФ» |
|||
|
несанкционированного |
использования |
технологий |
|
||||
|
мобильного кода, в том числе регистрация событий, |
|
||||||
|
связанных с использованием технологий мобильного |
|
||||||
|
кода, их анализ и реагирование на нарушения, |
|
||||||
|
связанные с использованием технологий мобильного |
|
||||||
|
кода |
|
|
|
|
|
|
|
ЗИС.8 |
Контроль |
санкционированного |
и |
исключение |
СЗИ НСД |
|||
|
несанкционированного |
использования |
технологий |
«ИНАФ» |
||||
|
передачи речи, в том числе регистрация событий, |
|
||||||
|
связанных с использованием технологий передачи |
|
||||||
|
речи, их анализ и реагирование на нарушения, |
|
|
|||||
|
связанные с использованием технологий передачи |
|
||||||
|
речи |
|
|
|
|
|
|
|
ЗИС.9 |
Контроль |
санкционированной |
и |
исключение |
СЗИ НСД |
|||
|
несанкционированной передачи видеоинформации, в |
«ИНАФ» |
||||||
|
том числе регистрация событий, связанных |
с |
|
|||||
|
передачей |
видеоинформации, |
их |
анализ |
и |
|
||
|
реагирование на нарушения, связанные с передачей |
|
||||
|
видеоинформации |
|
|
|
|
|
|
|
|
|
|
||
ЗИС.11 |
Обеспечение |
подлинности сетевых |
соединений |
Proxmox |
||
|
(сеансов взаимодействия), в том числе для защиты от |
|
||||
|
подмены сетевых устройств и сервисов |
|
|
|||
ЗИС.12 |
Исключение |
возможности |
|
отрицания |
MODX CMS |
|
|
пользователем факта отправки информации другому |
|
||||
|
пользователю |
|
|
|
|
|
|
|
|
|
|
|
|
ЗИС.13 |
Исключение |
возможности |
|
отрицания |
MODX CMS |
|
|
пользователем факта получения информации от |
|
||||
|
другого пользователя |
|
|
|
|
|
ЗИС.15 |
Защита архивных файлов, параметров настройки |
Антивирус |
||||
|
средств защиты информации и программного |
Kaspersky |
||||
|
обеспечения и иных данных, не подлежащих |
Optimum Security |
||||
|
изменению в процессе обработки информации |
|
||||
ЗИС.17 |
Разбиение информационной системы на сегменты |
NGINX |
||||
|
(сегментирование информационной системы) и |
|
||||
|
обеспечение |
защиты |
периметров |
сегментов |
|
|
|
информационной системы |
|
|
|
||
ЗИС.20 |
Защита беспроводных соединений, применяемых в |
системы |
||||
|
информационной системе |
|
|
виртуализации |
||
|
|
|
|
|
|
Proxmox и прочие |
|
|
|
|
|
|
программные |
|
|
|
|
|
|
системы защиты |
ЗИС.21 |
Исключение доступа пользователя к информации, |
СЗИ НСД |
||||
|
возникшей в результате действий предыдущего |
«ИНАФ» |
||||
|
пользователя через реестры, оперативную память, |
|
||||
|
внешние запоминающие устройства и иные общие |
|
||||
|
для пользователей |
ресурсы |
информационной |
|
||
|
системы |
|
|
|
|
|
ЗИС.22 |
Защита информационной системы от угроз |
системы |
|||
|
безопасности информации, направленных на отказ в |
автоматизиров |
|||
|
обслуживании информационной системы |
|
анной |
||
|
|
|
|
|
блокировки IP |
|
|
|
|
|
адресов |
ЗИС.23 |
Защита периметра (физических и (или) логических |
охранные |
|||
|
границ) информационной системы при ее |
системы и |
|||
|
взаимодействии с иными информационными |
системы |
|||
|
системами |
и |
информационно- |
видеонаблюдения |
|
|
телекоммуникационными сетями |
|
, |
||
ЗИС.24 |
Прекращение сетевых соединений по их |
СЗИ НСД |
|||
|
завершении или по истечении заданного оператором |
«ИНАФ» |
|||
|
временного |
интервала |
неактивности |
сетевого |
|
|
соединения |
|
|
|
|
ЗИС.30 |
Защита |
мобильных |
технических |
средств, |
Proxmox |
|
применяемых в информационной системе |
|
|
||
Был выбран антивирус Kaspersky Optimum Security с типом защиты САВЗ типа «В» - средства антивирусной защиты, предназначенные для применения на автоматизиованных рабочих местах информационной системы, что соответствует классу ГИС и уровню ИСПДн предприятия.
СЗИ НСД «ИНАФ» и Межсетевой экран «Next Generation Firewall
(NGFW)» соответствует РД НДВ (4), РД СВТ (4) («Защита от несанкционированного доступа к информации. Классификация по уровню контроля отсутствия недекларированных возможностей»), что, в свою очередь,
подходит классу и уровню защиты предприятия.
Сертифицированная операционная система «ControlGate» - система контроля и управления доступом соответствует средствам контроля защищенности информации от НСД в АС по 2 уровню контроля НДВ (у
пользователей равные полномочия в отношении всей информации), что подходит классу ГИС и уровню ИСПДн предприятия.
