Перейти к содержанию

Приказ №31, Приказ №239

Перечень мер защиты информации, реализуемых Изделием в соответствии с документами#

  1. Приказ ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»
  2. Приказ ФСТЭК от 25 декабря 2017 г № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»

приведён в таблице ниже:

Меры защиты Условное обозначение, согласно
приказам ФСТЭК России № 31 [1], № 239 [2]		 Пункт ТУ
ИАФ.1 ИАФ.1 [1, 2] 1.4.1.3.1
1.4.1.3.3
1.4.1.3.4
ИАФ.2 ИАФ.2 [1, 2] 1.4.1.1
ИАФ.3 ИАФ.3 [1, 2] 1.4.1.4
ИАФ.4 ИАФ.4 [1, 2] 1.4.1.5
ИАФ.7 ИАФ.7 [1, 2] 1.4.1.6
УПД.1 УПД.1 [1, 2] 1.4.1.2
УПД.2 УПД.2 [1, 2] 1.4.1.2
УПД.6 УПД.6 [1, 2] 1.4.1.5
АУД.4 АУД.4 [1, 2] 1.4.3.1
1.4.3.2
1.4.3.3
АУД.6 АУД.6 [1, 2] 1.4.3.4
1.4.6.1 (6)
ОЦЛ.1 ОЦЛ.1 [1, 2] 1.4.6.1
1.4.6.2
ОДТ.2 ОДТ.2 [1, 2] 1.4.7.1
1.4.7.2
ЗИС.4 ЗИС.4 [1, 2] 1.4.8.1
1.4.8.2
1.4.8.3
ЗИС.12 ЗИС.12 [1, 2] 1.4.2.5
1.4.2.6
ЗИС.39 ЗИС.39 [1, 2] 1.4.5.1
1.4.5.2
1.4.5.3
1.4.5.4
1.4.5.5
1.4.5.6
1.4.5.7

Изделие реализует ряд функций безопасности, направленные на идентификацию и аутентификацию субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации в части следующих требований к мере защиты информации ИАФ.1#

  • Изделие осуществляет идентификацию и аутентификацию субъектов доступа и объектов доступа, являющихся пользователями Изделия, в соответствии с RBAC и процессов, запускаемых от их имени (пп.1.4.1.3.1).
  • Субъекты доступа должны однозначно идентифицироваться и аутентифицироваться при доступе к консоли управления УВМ до разрешения каких-либо действий по администрированию Изделия (пп. 1.4.1.3.3).
  • Аутентификация субъектов доступа осуществляется с использованием паролей (пп.1.4.1.3.4).

Изделие реализует ряд функций безопасности, направленные на идентификацию и аутентификацию субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации в части следующих требований к мере защиты информации ИАФ.2#

  • Изделие обеспечивает идентификацию устройств по логическим именам (имя устройства и (или) ID), логическим адресам (например, IP-адресам) и (или) по физическим адресам (например, МАС-адресам) устройства или по комбинации имени, логического и (или) физического адресов устройства (пп.1.4.1.1).
  • Изделие обеспечивает поддержку протоколов аутентификации (iscsi/iser) для аутентификации устройств в информационной системе(пп.1.4.1.1).

Изделие реализует ряд функций безопасности, направленные на идентификацию и аутентификацию субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации в части следующих требований к мере защиты информации ИАФ.3#

Изделие обеспечивает следующие возможности по управлению идентификаторами пользователей и (или) устройств:

1) формирование (создание) администратором Изделия идентификатора, который однозначно идентифицирует пользователя; 2) присвоение идентификатора пользователю и (или) устройству (пп.1.4.1.4).

Изделие реализует ряд функций безопасности, направленные на идентификацию и аутентификацию субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации в части следующих требований к мере защиты информации ИАФ.4#

Изделие обеспечивает следующие функции управления средствами аутентификации (аутентификационной информацией) субъектов доступа:

1) конфигурирование (задание/установку) администратором Изделия следующих параметров паролей пользователей Изделия:

  • минимальной сложности пароля с использованием символов не менее чем из 3 следующих категорий: прописные буквы английского алфавита от 'A' до 'Z', строчные буквы английского алфавита от 'а' до 'z', десятичные цифры от 0 до 9, спецсимволы ('~', '!', '@', '#', '$', '%', '^', '&', '*', '(', ')', '-', '+', '=', '_', '{','}', '[', ']', '\', '/', '|', ':', ';', '»', '’', '”', '.', '?', '<', '>', '«');
  • минимального количества символов при создании новых паролей: в пределах от 6 до 8 символов (по умолчанию);
  • времени действия пароля, в пределах от 60 до 180 дней;
  • максимального количества неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки учетной записи субъекта доступа – от 3 до 10 попыток.

2) конфигурирование (задание/установку) администратором Изделия следующих параметров автоматической блокировки учетной записи субъекта доступа в случае достижения установленного максимального количества неуспешных попыток аутентификации на период времени от 3 минут до 60 минут (пп.1.4.1.5).

Изделие реализует ряд функций безопасности, направленные на идентификацию и аутентификацию субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации в части следующих требований к мере защиты информации ИАФ.7#

Изделие обеспечивает защиту аутентификационной информации (паролей субъектов доступа) в процессе ее ввода для аутентификации от возможного использования лицами, не имеющими на это полномочий. Защита обратной связи «система – субъект доступа» в процессе аутентификации обеспечивается исключением отображения действительного значения аутентификационной информации и количества вводимых пользователем символов. Вводимые символы пароля отображаются условными знаками «*», или пустыми символами (пп.1.4.1.6).

Изделие реализует ряд функций безопасности, направленные на управление доступом субъектов доступа к объектам доступа в части следующих требований к мере защиты информации УПД.1#

  • Изделие обеспечивает ролевую модель управления доступом и администрирования Изделия, при которой пользователями Изделия должны являться субъекты доступа, обладающие различными правами по администрированию Изделия при этом:
  • Изделие должно обеспечивать функции управления доступом на основе ролевой модели (Role Based Access Control, RBAC), в соответствии с которой Изделие должно связывать пользователя (или группу пользователей) с определенной ролью, являющейся именованным набором разрешений по доступу к объектам доступа и действиям по администрированию Изделия в соответствии с Приложением Б.
  • Изделие должно поддерживать роль локального администратора (Local Super User, LSU), обладающая всеми (максимальными) правами и полномочиями по управлению Изделием (пп.1.4.1.2).

Изделие реализует ряд функций безопасности, направленные на управление доступом субъектов доступа к объектам доступа в части следующих требований к мере защиты информации УПД.2#

  • Изделие обеспечивает ролевую модель управления доступом и администрирования Изделия, при которой пользователями Изделия должны являться субъекты доступа, обладающие различными правами по администрированию Изделия (пп. 1.4.1.2).

Изделие реализует ряд функций безопасности, направленные на управление доступом субъектов доступа к объектам доступа в части следующих требований к мере защиты информации УПД.6#

  • Изделие обеспечивает следующие функции управления средствами аутентификации (аутентификационной информацией) субъектов доступа:

1) конфигурирование (задание/установку) администратором Изделия следующих параметров паролей пользователей Изделия:

  • минимальной сложности пароля с использованием символов не менее чем из 3 следующих категорий: прописные буквы английского алфавита от 'A' до 'Z', строчные буквы английского алфавита от 'а' до 'z', десятичные цифры от 0 до 9, спецсимволы ('~', '!', '@', '#', '$', '%', '^', '&', '*', '(', ')', '-', '+', '=', '_', '{','}', '[', ']', '\', '/', '|', ':', ';', '»', '’', '”', '.', '?', '<', '>', '«');
  • минимального количества символов при создании новых паролей: в пределах от 6 до 8 символов (по умолчанию);
  • времени действия пароля, в пределах от 60 до 180 дней;
  • максимального количества неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки учетной записи субъекта доступа – от 3 до 10 попыток.

2) конфигурирование (задание/установку) администратором Изделия следующих параметров автоматической блокировки учетной записи субъекта доступа в случае достижения установленного максимального количества неуспешных попыток аутентификации на период времени от 3 минут до 60 минут (пп.1.4.1.5).

Изделие реализует ряд функций безопасности, направленные на защиту информации о событиях безопасности в части следующих требований к мере защиты информации АУД.6#

  • Изделие обеспечивает возможность резервного копирования журнала регистрации событий (пп.1.4.3.4).
  • Изделие обеспечивает возможность контроля целостности в процессе загрузки и (или) динамически журнала аудита (пп.1.4.6.1 (6)).

Изделие реализует ряд функций безопасности, направленные на регистрацию событий безопасности в части следующих требований к мере защиты информации АУД.4#

  • Изделие обеспечивает регистрацию запуска (завершения) работы компонентов виртуальной машины (МВМ и УВМ), а также виртуальных машин (пп.1.4.3.1 (1)), при этом состав и содержание информации, подлежащей регистрации для указанных компонентов виртуальной инфраструктуры, включены:

    • дату и время запуска (завершения) работы;
    • результат запуска (завершения) работы указанных компонентов виртуальной инфраструктуры (успешная или неуспешная);
    • идентификатор пользователя, предъявленный при попытке запуска (завершения) работы указанных компонентов виртуальной инфраструктуры;
    • тип события;
    • идентификатор события (пп.1.4.3.1. (1a-1д)).

  • Изделие обеспечивает регистрацию запуска (завершения) программ и процессов в УВМ (как компонент виртуальной инфраструктуры), при этом регистрации подлежат дата и время запуска (завершения) программ и процессов, тип события и идентификатор события (пп.1.4.3.1 (2)).

  • Изделие обеспечивает регистрацию доступа субъектов доступа к компонентам виртуальной инфраструктуры (УВМ, а также виртуальным машинам) (пп.1.4.3.1 (3)), при этом при доступе (входе или выходе) к компонентам виртуальной инфраструктуры состав и содержание информации, подлежащей регистрации, включают:

    • дату и время доступа субъектов;
    • результат попытки доступа субъектов (успешная или неуспешная),
    • идентификатор пользователя, предъявленный при попытке доступа субъектов доступа к указанным компонентам виртуальной инфраструктуры;
    • тип события;
    • идентификатор события (пп.1.4.3.1 (3а-3д)).

  • Изделие обеспечивает регистрацию внесения изменений в состав и конфигурацию компонентов виртуальной инфраструктуры во время их запуска, функционирования и аппаратного отключения (пп.1.4.3.1 (4)), при этом состав и содержание информации, подлежащей регистрации, включены:

    • дату и время изменения в составе и конфигурации виртуальных машин, виртуального аппаратного обеспечения, виртуализированного программного обеспечения, виртуального аппаратного обеспечения в гипервизоре и в виртуальных машинах, в хостовой операционной системе, виртуальном сетевом оборудовании;
    • результат попытки изменения в составе и конфигурации указанных компонентов виртуальной инфраструктуры (успешная или неуспешная), идентификатор пользователя, предъявленный при попытке изменения в составе и конфигурации указанных компонентов виртуальной инфраструктуры;
    • тип события;
    • идентификатор события (пп.1.4.3.1 (4а-4г));

  • Изделие обеспечивает регистрацию создания/удаления ВМ, при этом состав и содержание информации, подлежащей регистрации, должны включать:

    • дату и время;
    • тип события;
    • идентификатор события (пп.1.4.3.1 (5а-5в)).

  • Изделие обеспечивает регистрацию изменения ролевой модели, при этом состав и содержание информации, подлежащей регистрации, должны включать:

    • дату и время;
    • тип события;
    • идентификатор события (пп.1.4.3.1 (6а-6в)).

  • Изделие обеспечивает регистрацию нарушения целостности объектов контроля, при этом состав и содержание информации, подлежащей регистрации, должны включать:

    • дату и время;
    • тип события;
    • идентификатор события (пп.1.4.3.1 (7а-7в)).

  • Изделие обеспечивает возможность централизованного сбора, хранения, экспорта и анализа информации о зарегистрированных событиях безопасности виртуальной инфраструктуры (пп.1.4.3.2);

  • Изделие обеспечивает регистрацию событий безопасности, связанных с перемещением и размещением виртуальных машин (пп.1.4.3.3).

Изделие реализует ряд функций безопасности направленных на Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации в части следующих требований к мере защиты информации ОЦЛ.1#

  • Изделие обеспечивает блокировку запуска программного обеспечения и (или) блокировка сегмента (компонента) информационной системы (автоматизированного рабочего места, сервера) в случае обнаружения фактов нарушения целостности (пп. 1.4.6.2).
  • Изделие обеспечивает контроль целостности в процессе загрузки и (или) динамически состава и конфигурации виртуального аппаратного обеспечения (пп.1.4.6.1 (1));
  • Изделие обеспечивает контроль целостности в процессе загрузки и (или) динамически файлов, содержащих параметры настройки виртуализированного программного обеспечения и виртуальных машин (пп.1.4.6.1 (2));
  • Изделие обеспечивает контроль целостности в процессе загрузки и (или) динамически файлов-образов виртуализированного программного обеспечения и виртуальных машин, файлов-образов, используемых для обеспечения работы виртуальных файловых систем. Контроль целостности должен проводиться только, когда файлы-образы не задействованы (пп.1.4.6.1 (3));
  • Изделие обеспечивает контроль целостности в процессе загрузки и (или) динамически резервных копий виртуальных машин (пп.1.4.6.1 (4));
  • Изделие обеспечивает контроль целостности в процессе загрузки и (или) динамически состава аппаратной части компонентов виртуализированной инфраструктуры (пп.1.4.6.1 (5));
  • Изделие обеспечивает контроль целостности в процессе загрузки и (или) динамически журнала аудита (пп.1.4.6.1 (6)).

Изделие реализует ряд функций безопасности, направленные на резервирование систем и средств, в части следующих требований к мере защиты информации ОДТ.2#

  • Изделие обеспечивает резервное копирование виртуальных машин (пп.1.4.7.1 (1));
  • Изделие обеспечивает резервное копирование конфигурации виртуальной инфраструктуры (1.4.7.1 (2));
  • Изделие обеспечивает резервное копирование данных, обрабатываемых в виртуальной инфраструктуре (пп.1.4.7.1 (1), пп.1.4.7.1 (3), пп.1.4.7.1(4)).

Изделие обеспечивает реализацию уникальных заявленных функций безопасности направленных на резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры#

  • Изделие обеспечивает резервное копирование ВМ, при этом Изделие поддерживает следующие механизмы:
  • механизм снимков ВМ (snapshot), который обеспечивает возможность создания снимка виртуальной машины, в котором будет зафиксировано ее текущее состояние, и возможность последующего возвращения к этому снимку (пп1.4.7.1 (1а));
  • механизм экспорта (выгрузки) ВМ на выделенное хранилище (пп.1.4.7.1 (1б)).
  • Изделие обеспечивает резервное переназначение мастер пула (пп.1.4.7.1 (5));
  • Изделие обеспечивает возможность резервирование каналов связи, используемых в виртуальной инфраструктуре (пп.1.4.7.2).

Изделие реализует ряд функций безопасности, направленные на сегментирование информационной системы, в части следующих требований к мере защиты информации ЗИС.4#

  • Изделие обеспечивает возможность создание изолированных виртуальных зон, предназначенных для решения выделенных (обособленных) задач (пп.1.4.8.1).
  • Изделие обеспечивает возможность сегментирования виртуальной инфраструктуры (виртуальных вычислительных сетей) посредством создания логических локальных сетей (пп.1.4.8.2).
  • УВМ обеспечивает недоступность со стороны объектов и процессов, исполняющихся на ВМ (пп.1.4.8.3).

Изделие реализует ряд функций безопасности, направленные на изоляцию процессов (выполнение программ) в выделенной области памяти, в части следующих требований к мере защиты информации ЗИС.12#

  • Изделие должно обеспечивать реализацию механизмов изоляции программных модулей одного процесса от другого (пп.1.4.2.5);
  • Изделие должно обеспечивать гарантированную изоляцию страниц памяти разных виртуальных машин друг от друга (пп.1.4.2.6).

Изделие реализует ряд функций безопасности, направленные на управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных в части следующих требований к мере защиты информации ЗИС.39#

  • Изделие обеспечивает управление размещением и перемещением файлов-образов виртуальных машин (контейнеров) между носителями (системами хранения данных) (пп.1.4.5.1 (1));
  • Изделие обеспечивает управление размещением и перемещением исполняемых виртуальных машин (контейнеров) между серверами виртуализации (пп.1.4.5.1 (2));
  • Изделие обеспечивает управление размещением и перемещением данных, обрабатываемых с использованием виртуальных машин, между носителями (системами хранения данных) (пп.1.4.5.1 (3));
  • Изделие обеспечивает в рамках управления перемещением виртуальных машин (контейнеров) полный запрет перемещения виртуальных машин (контейнеров) (пп.1.4.5.2 (1));
  • Изделие обеспечивает в рамках управления перемещением виртуальных машин (контейнеров) ограничение перемещения виртуальных машин (контейнеров) в пределах виртуальных сред, созданных для запуска и исполнения ВМ, предназначенных для обработки разнородной информации, или сегментов информационных систем, развернутых в среде виртуализации (пп.1.4.5.2 (2));
  • Изделие обеспечивает в рамках управления перемещением виртуальных машин (контейнеров) ограничение перемещения виртуальных машин (контейнеров) между виртуальными средами, созданными для запуска и исполнения ВМ, предназначенных для обработки разнородной информации, или сегментами информационных систем, развернутых в среде виртуализации (пп.1.4.5.2 (3));
  • Изделие обеспечивает возможность централизованного управления механизмами управления перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных (пп.1.4.5.3);
  • Изделие должно обеспечивать обработку отказов перемещения виртуальных машин (контейнеров) и обрабатываемых на них данных (пп.1.4.5.4);
  • Изделие должно обеспечивать непрерывность регистрации событий безопасности в виртуальных машинах (контейнерах) в процессе перемещения (пп.1.4.5.5);
  • Изделие должно обеспечивать очистку освобождаемых областей памяти на серверах виртуализации, носителях, системах хранения данных при перемещении виртуальных машин (контейнеров) и обрабатываемых на них данных (пп.1.4.5.6).
  • Изделие обеспечивает стирание остаточной информации, образующейся после удаления файлов, содержащих настройки виртуального аппаратного обеспечения (пп.1.4.5.7 (1)), файлов-образов ВМ (пп.1.4.5.7 (2)).

Изделие обеспечивает реализацию уникальных заявленных функций безопасности направленных на управление перемещением виртуальных машин (контейнеров и обрабатываемых на них данных)#

  • Изделие обеспечивает стирание остаточной информации, образующейся после удаления файлов, содержащих настройки виртуального аппаратного обеспечения (пп.1.4.5.7 (1)), файлов-образов ВМ (пп.1.4.5.7 (2)).

Изделие обеспечивает реализацию уникальных заявленных функций безопасности направленных на управление информационными потоками между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры#

  • Изделие обеспечивает управление информационными потоками между компонентами виртуальной инфраструктуры (пп.1.4.4.1(1)).

Изделие обеспечивает реализацию уникальных заявленных функций безопасности, направленных на обеспечение возможности следующих действий: создание, удаление, запуск, остановку, конфигурацию ВМ и т.д., включая назначение меток безопасности, а также экспорт и импорт ВМ и управление шаблонами ВМ (пп.1.4.9)#