- •Основы проектирования защищенных инфокоммуникационных систем
- •МЕРЫ ЗАЩИТЫ ИНФОРМАЦИИ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ
- •ОГРАНИЧЕНИЕ ПРОГРАММНОЙ СРЕДЫ (ОПС)
- •УПРАВЛЕНИЕ ЗАПУСКОМ (ОБРАЩЕНИЯМИ) КОМПОНЕНТОВ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, В ТОМ ЧИСЛЕ ОПРЕДЕЛЕНИЕ ЗАПУСКАЕМЫХ КОМПОНЕНТОВ, НАСТРОЙКА
- •Требования к усилению ОПС.1
- •УПРАВЛЕНИЕ УСТАНОВКОЙ (ИНСТАЛЛЯЦИЕЙ) КОМПОНЕНТОВ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, В ТОМ ЧИСЛЕ ОПРЕДЕЛЕНИЕ КОМПОНЕНТОВ, ПОДЛЕЖАЩИХ УСТАНОВКЕ,
- •Требования к усилению ОПС.2
- •УСТАНОВКА (ИНСТАЛЛЯЦИЯ) ТОЛЬКО РАЗРЕШЕННОГО К ИСПОЛЬЗОВАНИЮ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ И (ИЛИ) ЕГО КОМПОНЕНТОВ
- •УСТАНОВКА (ИНСТАЛЛЯЦИЯ) ТОЛЬКО РАЗРЕШЕННОГО К ИСПОЛЬЗОВАНИЮ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ И (ИЛИ) ЕГО КОМПОНЕНТОВ ОПС.3
- •Содержание базовой меры ОПС.3
- •УПРАВЛЕНИЕ ВРЕМЕННЫМИ ФАЙЛАМИ, В ТОМ ЧИСЛЕ ЗАПРЕТ, РАЗРЕШЕНИЕ, ПЕРЕНАПРАВЛЕНИЕ ЗАПИСИ, УДАЛЕНИЕ ВРЕМЕННЫХ ФАЙЛОВ
- •УПРАВЛЕНИЕ ВРЕМЕННЫМИ ФАЙЛАМИ, В ТОМ ЧИСЛЕ ЗАПРЕТ, РАЗРЕШЕНИЕ, ПЕРЕНАПРАВЛЕНИЕ ЗАПИСИ, УДАЛЕНИЕ ВРЕМЕННЫХ ФАЙЛОВ
- •ЗАЩИТА МАШИННЫХ НОСИТЕЛЕЙ ИНФОРМАЦИИ (ЗНИ). УЧЕТ МАШИННЫХ НОСИТЕЛЕЙ ИНФОРМАЦИИ. ЗНИ.1
- •Регистрационные или иные номера подлежат занесению в журналы учета машинных носителей информации или
- •УПРАВЛЕНИЕ ДОСТУПОМ К МАШИННЫМ НОСИТЕЛЯМ ИНФОРМАЦИИ ЗНИ.2
- •Требования к усилению ЗНИ.2
- •КОНТРОЛЬ ПЕРЕМЕЩЕНИЯ МАШИННЫХ НОСИТЕЛЕЙ ИНФОРМАЦИИ ЗА ПРЕДЕЛЫ КОНТРОЛИРУЕМОЙ ЗОНЫ
- •Требования к усилению ЗНИ.3
- •ИСКЛЮЧЕНИЕ ВОЗМОЖНОСТИ НЕСАНКЦИОНИРОВАННОГО ОЗНАКОМЛЕНИЯ С СОДЕРЖАНИЕМ ИНФОРМАЦИИ, ХРАНЯЩЕЙСЯ НА МАШИННЫХ НОСИТЕЛЯХ, И (ИЛИ)
- •Правила и процедуры управления, направленные на исключение несанкционированного ознакомления с содержанием информации, хранящейся
- •КОНТРОЛЬ ИСПОЛЬЗОВАНИЯ ИНТЕРФЕЙСОВ ВВОДА (ВЫВОДА) ЗНИ.5
- •Требования к усилению ЗНИ.5
- •КОНТРОЛЬ ВВОДА (ВЫВОДА) ИНФОРМАЦИИ НА МАШИННЫЕ НОСИТЕЛИ ИНФОРМАЦИИ ЗНИ.6
- •Требования к усилению ЗНИ.6
- •КОНТРОЛЬ ПОДКЛЮЧЕНИЯ МАШИННЫХ НОСИТЕЛЕЙ ИНФОРМАЦИИ ЗНИ.7
- •Требования к усилению ЗНИ.7
- •УНИЧТОЖЕНИЕ (СТИРАНИЕ) ИНФОРМАЦИИ НА МАШИННЫХ НОСИТЕЛЯХ ПРИ ИХ ПЕРЕДАЧЕ МЕЖДУ ПОЛЬЗОВАТЕЛЯМИ, В СТОРОННИЕ
- ••должно быть обеспечено уничтожение информации с носителей после их приобретения и при первичном
- •Содержание базовой меры ЗНИ.8
- •РЕГИСТРАЦИЯ СОБЫТИЙ БЕЗОПАСНОСТИ (РСБ) ОПРЕДЕЛЕНИЕ СОБЫТИЙ БЕЗОПАСНОСТИ, ПОДЛЕЖАЩИХ РЕГИСТРАЦИИ, СРОКОВ ИХ
- •Как минимум подлежат регистрации следующие события:
- ••включен список событий, связанных с изменением привилегий учетных записей в перечень событий безопасности,
- •ОПРЕДЕЛЕНИЕ СОСТАВА И СОДЕРЖАНИЯ ИНФОРМАЦИИ О СОБЫТИЯХ БЕЗОПАСНОСТИ,
- •Требования к усилению РСБ.2
- •Содержание базовой меры РСБ.2
- •СБОР, ЗАПИСЬ И ХРАНЕНИЕ ИНФОРМАЦИИ О СОБЫТИЯХ БЕЗОПАСНОСТИ В ТЕЧЕНИЕ УСТАНОВЛЕННОГО ВРЕМЕНИ ХРАНЕНИЯ
- •Требования к усилению РСБ.3
- •РЕАГИРОВАНИЕ НА СБОИ ПРИ РЕГИСТРАЦИИ СОБЫТИЙ БЕЗОПАСНОСТИ, В ТОМ ЧИСЛЕ
- •Требования к усилению РСБ.4
- •МОНИТОРИНГ (ПРОСМОТР, АНАЛИЗ) РЕЗУЛЬТАТОВ РЕГИСТРАЦИИ СОБЫТИЙ БЕЗОПАСНОСТИ И
- •Требования к усилению РСБ.5
- •ГЕНЕРИРОВАНИЕ ВРЕМЕННЫХ МЕТОК И (ИЛИ) СИНХРОНИЗАЦИЯ СИСТЕМНОГО ВРЕМЕНИ В
- •ЗАЩИТА ИНФОРМАЦИИ О СОБЫТИЯХ БЕЗОПАСНОСТИ РСБ.7
- •Содержание базовой меры РСБ.7
- •ОБЕСПЕЧЕНИЕ ВОЗМОЖНОСТИ ПРОСМОТРА И АНАЛИЗА ИНФОРМАЦИИ О ДЕЙСТВИЯХ ОТДЕЛЬНЫХ ПОЛЬЗОВАТЕЛЕЙ В ИНФОРМАЦИОННОЙ СИСТЕМЕ
Как минимум подлежат регистрации следующие события:
•попытки входа и выхода субъектов доступа в информационную систему и загрузки операционной системы;
•подключение машинных носителей информации и вывод информации на носители информации;
•запуск и завершение программ и процессов, связанных с обработкой защищаемой информации;
•попытки доступа программных средств к определяемым оператором защищаемым объектам доступа;
•попытки удаленного доступа.
Состав и содержание информации о событиях безопасности, подлежащих регистрации, определяются в соответствии с РСБ.2.
Требования к усилению РСБ.1
•Оператором должен быть:
•обеспечен пересмотр перечня событий безопасности, подлежащих регистрации, не менее чем один раз в год, а также по результатам контроля за обеспечением уровня защищенности информации, содержащейся в информационной системе;
•включен список событий, связанных с действиями от имени привилегированных учетных записей;
•включен список событий, связанных с изменением привилегий учетных записей в перечень событий безопасности, подлежащих регистрации;
•обеспечен срок хранения информации о зарегистрированных событиях безопасности не менее трех месяцев, если иное не установлено требованиями законодательства Российской Федерации, при этом осуществляется хранение:
oтолько записей о выявленных событиях безопасности; записей о выявленных событиях безопасности и системных журналов, которые послужили основанием для регистрации события безопасности;
oосуществляется хранение журналов приложений, которые послужили основанием для регистрации события безопасности;
oвсех записей системных журналов и событий безопасности.
Содержание базовой меры РСБ.1
ОПРЕДЕЛЕНИЕ СОСТАВА И СОДЕРЖАНИЯ ИНФОРМАЦИИ О СОБЫТИЯХ БЕЗОПАСНОСТИ,
ПОДЛЕЖАЩИХ РЕГИСТРАЦИИ РСБ.2
Требования к реализации РСБ.2
В информационной системе должны быть определены состав и содержание информации о событиях безопасности, подлежащих регистрации.
При регистрации входа-выхода субъектов доступа в информационную систему и загрузки операционной системы состав и содержание информации должны, как минимум, включать дату и время события, и его результат.
То же самое касается и регистрации подключения машинных носителей информации, регистрации запуска-завершения программ и процессов, связанных с обработкой защищаемой информации, регистрации попыток доступа программных средств к защищаемым файлам и регистрации попыток удаленного доступа к информационной системе.
Состав и содержание информации о событиях безопасности, подлежащих регистрации, отражаются в организационно-распорядительных документах оператора по защите информации.
Требования к усилению РСБ.2
Винформационной системе обеспечивается:
•запись дополнительной информации о событиях безопасности, включающую:
oполнотекстовую запись привилегированных команд;
oзапись сетевых потоков, связанных с событием безопасности;
•централизованное управление записями регистрации событий безопасности;
•индивидуальная регистрация пользователей групповых учетных записей;
•регистрация информации о месте, с которого осуществляется вход субъектов доступа в информационную систему;
•запись следующей информации, связанной с доступом к объектам доступа (в частности к файлам):
oтип доступа;
oизменение атрибутов объектов доступа; oпродолжительность доступа.
Состав и содержание регистрационных записей при регистрации запуска процессов должны включать следующие сведения:
●параметров запуска процесса; ●продолжительность работы;
●объекты доступа, к которым осуществлялось обращение процесса; ●использованные процессом устройства;
Содержание базовой меры РСБ.2
СБОР, ЗАПИСЬ И ХРАНЕНИЕ ИНФОРМАЦИИ О СОБЫТИЯХ БЕЗОПАСНОСТИ В ТЕЧЕНИЕ УСТАНОВЛЕННОГО ВРЕМЕНИ ХРАНЕНИЯ РСБ.3
Требования к реализации РСБ.3
В информационной системе должны осуществляться сбор, запись и хранение информации о событиях безопасности в течение установленного оператором времени хранения информации о событиях безопасности.
Он должен предусматривать: возможность выбора администратором безопасности событий безопасности, подлежащих регистрации в текущий момент времени из перечня событий безопасности определенных в соответствии с РСБ.1.
Объем памяти для хранения информации о событиях безопасности должен быть рассчитан и выделен с учетом типов событий безопасности, подлежащих регистрации в соответствии с РСБ.1.
Правила и процедуры сбора, записи и хранения информации о событиях безопасности регламентируются в организационно-распорядительных документах оператора по защите информации.
Требования к усилению РСБ.3
Винформационной системе должно обеспечиваться
•централизованное автоматизированное управление сбором, записью и хранением информации о событиях безопасности;
•объединение информации из записей регистрации событий безопасности в единый логический или физический журнал аудита с корреляцией информации по времени для своевременного выявления инцидентов и реагирования на них;
•хранение записей системных журналов и записей о событиях безопасности.
Содержание базовой меры РСБ.3
РЕАГИРОВАНИЕ НА СБОИ ПРИ РЕГИСТРАЦИИ СОБЫТИЙ БЕЗОПАСНОСТИ, В ТОМ ЧИСЛЕ
АППАРАТНЫЕ И ПРОГРАММНЫЕ ОШИБКИ, СБОИ В МЕХАНИЗМАХ СБОРА ИНФОРМАЦИИ И ДОСТИЖЕНИЕ ПРЕДЕЛА ИЛИ ПЕРЕПОЛНЕНИЯ ОБЪЕМА (ЕМКОСТИ) ПАМЯТИ РСБ.4
Требования к реализации РСБ.4
В информационной системе должно осуществляться реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема памяти.
Реагирование на сбои при регистрации событий безопасности должно предусматривать предупреждение администраторов о сбоях при регистрации событий безопасности.
Правила и процедуры реагирования регламентируются в организационно- распорядительных документах оператора по защите информации.
Требования к усилению РСБ.4
Винформационной системе должна обеспечиваться
•выдача предупреждения администратору при заполнении установленной оператором части объема памяти для хранения информации о событиях безопасности; предупреждения администратору в масштабе времени, близком к реальному, при наступлении критичных сбоев в механизмах сбора информации, определенных оператором;
•запрет обработки информации в случае аппаратных или программных ошибок, сбоев в механизмах сбора информации или достижения предела или переполнения объема памяти.
Содержание базовой меры РСБ.4
МОНИТОРИНГ (ПРОСМОТР, АНАЛИЗ) РЕЗУЛЬТАТОВ РЕГИСТРАЦИИ СОБЫТИЙ БЕЗОПАСНОСТИ И
РЕАГИРОВАНИЕ НА НИХ РСБ.5
Требования к реализации РСБ.5
Оператором должен осуществляться мониторинг результатов регистрации событий безопасности и реагирование на них.
Он должен проводиться для всех событий, подлежащих регистрации в соответствии с РСБ.1, и с периодичностью, установленной оператором, и обеспечивающей своевременное выявление признаков инцидентов безопасности в информационной системе.
В случае выявления таких признаков в информационной системе осуществляется планирование и проведение мероприятий по реагированию на выявленные инциденты безопасности.
Правила и процедуры мониторинга регламентируются в организационно- распорядительных документах оператора по защите информации.