Действующий
Таблица 33 - Базовый состав мер по организации мониторинга данных регистрации о событиях защиты информации, формируемых объектами информатизации
Условное обозначение и номер меры | Содержание мер системы защиты информации | Уровень защиты информации | ||
3 | 2 | 1 | ||
МАС.1 | Организация мониторинга данных регистрации о событиях защиты информации, формируемых техническими мерами, входящими в состав системы защиты информации | Т | Т | Т |
MAC.2 | Организация мониторинга данных регистрации о событиях защиты информации, формируемых сетевым оборудованием, в том числе активным сетевым оборудованием, маршрутизаторами, коммутаторами | Н | Т | Т |
МАС.3 | Организация мониторинга данных регистрации о событиях защиты информации, формируемых сетевыми приложениями и сервисами | Н | Т | Т |
MAC.4 | Организация мониторинга данных регистрации о событиях защиты информации, формируемых системным ПО, операционными системами, СУБД | Н | Т | Т |
MAC.5 | Организация мониторинга данных регистрации о событиях защиты информации, формируемых АС и приложениями | Т | Т | Т |
МАС.6 | Организация мониторинга данных регистрации о событиях защиты информации, формируемых контроллерами доменов | Т | Т | Т |
MAC.7 | Организация мониторинга данных регистрации о событиях защиты информации, формируемых средствами (системами) контроля и управления доступом | Н | Н | Т |
7.7.1.3 Базовый состав мер по сбору, защите и хранению данных регистрации о событиях защиты информации применительно к уровням защиты информации приведен в таблице 34.
Таблица 34 - Базовый состав мер по сбору, защите и хранению данных регистрации о событиях защиты информации
Условное обозначение и номер меры | Содержание мер системы защиты информации | Уровень защиты информации | ||
3 | 2 | 1 | ||
МАС.8 | Централизованный сбор данных регистрации о событиях защиты информации, формируемых объектами информатизации, определенных мерами МАС.1-MAC.7 таблицы 33 | Н | Т | Т |
MAC.9 | Генерация временных меток для данных регистрации о событиях защиты информации и синхронизации системного времени объектов информатизации, используемых для формирования, сбора и анализа данных регистрации | Т | Т | Т |
MAC.10 | Контроль формирования данных регистрации о событиях защиты информации объектов информатизации, определенных мерами МАС.1-MAC.7 таблицы 33 | О | Т | Т |
MAC.11 | Реализация защиты данных регистрации о событиях защиты информации от раскрытия и модификации, двухсторонней аутентификации при передаче данных регистрации с использованием сети Интернет | Н | Т | Т |
MAC.12 | Обеспечение гарантированной доставки данных регистрации о событиях защиты информации при их централизованном сборе | Н | Т | Т |
MAC.13 | Резервирование необходимого объема памяти для хранения данных регистрации о событиях защиты информации | Т | Т | Т |
MAC.14 | Реализация защиты данных регистрации о событиях защиты информации от НСД при их хранении, обеспечение целостности и доступности хранимых данных регистрации | Т | Т | Т |
MAC.15 | Обеспечение возможности доступа к данным регистрации о событиях защиты информации в течение трех лет | Т | Т | Н |
MAC.16 | Обеспечение возможности доступа к данным регистрации о событиях защиты информации в течение пяти лет | Н | Н | Т |
7.7.1.4 Базовый состав мер по анализу данных регистрации о событиях защиты информации применительно к уровням защиты информации приведен в таблице 35.
Условное обозначение и номер меры | Содержание мер системы защиты информации | Уровень защиты информации | ||
3 | 2 | 1 | ||
МАС.17 | Обеспечение возможности выполнения операции нормализации (приведения к единому формату), фильтрации, агрегации и классификации данных регистрации о событиях защиты информации | Н | Т | Т |
MAC.18 | Обеспечение возможности выявления и анализа событий защиты информации, потенциально связанных с инцидентами защиты информации, в том числе НСД* | Т | Т | Т |
MAC.19 | Обеспечение возможности определения состава действий и (или) операций конкретного субъекта доступа | Т | Т | Т |
МАС.20 | Обеспечение возможности определения состава действий и (или) операций субъектов доступа при осуществлении логического доступа к конкретному ресурсу доступа | Т | Т | Т |
| * Перечень событий, потенциально связанных с НСД, рекомендуемых для выявления, регистрации и анализа, приведен в приложении В к настоящему стандарту. | ||||
7.7.1.5 Базовый состав мер по регистрации событий защиты информации, связанных с операциями по обработке данных регистрации о событиях защиты информации, применительно к уровням защиты информации приведен в таблице 36.
Таблица 36 - Базовый состав мер по регистрации событий защиты информации, связанных с операциями по обработке данных регистрации о событиях защиты информации
Условное обозначение и номер меры | Содержание мер системы защиты информации | Уровень защиты информации | ||
3 | 2 | 1 | ||
МАС.21 | Регистрация нарушений и сбоев в формировании и сборе данных о событиях защиты информации | Н | Т | Т |
MAC.22 | Регистрация доступа к хранимым данным о событиях защиты информации | Т | Т | Т |
MAC.23 | Регистрация операций, связанных с изменением правил нормализации (приведения к единому формату), фильтрации, агрегации и классификации данных регистрации о событиях защиты информации | Н | Т | Т |
7.7.2.1 Применяемые финансовой организацией меры по обнаружению инцидентов защиты информации и реагирование на них должны обеспечивать:
- регистрацию событий защиты информации, связанных с результатами обнаружения инцидентов защиты информации и реагирования на них.
При реализации подпроцесса "Обнаружение инцидентов защиты информации и реагирование на них" рекомендуется использовать ГОСТ Р ИСО/МЭК ТО 18044.
Примечание - Рекомендации по обнаружению инцидентов информационной безопасности и реагированию на инциденты информационной безопасности приведены в [15].
7.7.2.2 Базовый состав мер по обнаружению и регистрации инцидентов защиты информации применительно к уровням защиты информации приведен в таблице 37.
Условное обозначение и номер меры | Содержание мер системы защиты информации | Уровень защиты информации | ||
3 | 2 | 1 | ||
РИ.1 | Регистрация информации о событиях защиты информации, потенциально связанных с инцидентами защиты информации, в том числе НСД, выявленными в рамках мониторинга и анализа событий защиты информации | О | Т | Т |
РИ.2 | Регистрация информации, потенциально связанной с инцидентами защиты информации, в том числе НСД, полученной от работников, клиентов и (или) контрагентов финансовой организации | О | Т | Т |
РИ.3 | Классификация инцидентов защиты информации с учетом степени их влияния (критичности) на предоставление финансовых услуг, реализацию бизнес-процессов и (или) технологических процессов финансовой организации | О | О | Т |
РИ.4 | Установление и применение единых правил получения от работников, клиентов и (или) контрагентов финансовой организации информации, потенциально связанной с инцидентами защиты информации | О | О | О |
РИ.5 | Установление и применение единых правил регистрации и классификации инцидентов защиты информации в части состава и содержания атрибутов, описывающих инцидент защиты информации, и их возможных значений | О | Т | Т |
7.7.2.3 Базовый состав мер по организации реагирования на инциденты защиты информации применительно к уровням защиты информации приведен в таблице 38.
Условное обозначение и номер меры | Содержание мер системы защиты информации | Уровень защиты информации | ||
3 | 2 | 1 | ||
РИ.6 | Установление и применение единых правил реагирования на инциденты защиты информации | О | О | О |
РИ.7 | Определение и назначение ролей, связанных с реагированием на инциденты защиты информации | О | Н | Н |
РИ.8 | Определение и назначение ролей, связанных с реагированием на инциденты защиты информации - ролей группы реагирования на инциденты защиты информации (ГРИЗИ) | Н | О | О |
РИ.9 | Выделение в составе ГРИЗИ следующих основных ролей:- руководитель ГРИЗИ, в основные функциональные обязанности которого входит обеспечение оперативного руководства реагированием на инциденты защиты информации;- оператор-диспетчер ГРИЗИ, в основные функциональные обязанности которого входит обеспечение сбора и регистрации информации об инцидентах защиты информации;- аналитик ГРИЗИ, в основные функциональные обязанности которого входит выполнение непосредственных действий по реагированию на инцидент защиты информации;- секретарь ГРИЗИ, в основные функциональные обязанности которого входит документирование результатов реагирования на инциденты защиты информации, формирование аналитических отчетов материалов | Н | О | О |
РИ.10 | Своевременное (оперативное) оповещение членов ГРИЗИ о выявленных инцидентах защиты информации | Н | Т | Т |
РИ.11 | Предоставление членам ГРИЗИ прав логического и физического доступа и административных полномочий, необходимых для проведения реагирования на инциденты защиты информации | Н | О | О |
РИ.12 | Проведение реагирования на каждый обнаруженный инцидент защиты информации, включающего:- анализ инцидента;- определение источников и причин возникновения инцидента;- оценку последствий инцидента на предоставление финансовых услуг, реализацию бизнес-процессов или технологических процессов финансовой организации;- принятие мер по устранению последствий инцидента;- планирование и принятие мер по предотвращению повторного возникновения инцидента | О | О | О |
РИ.13 | Установление и применение единых правил сбора, фиксации и распространения информации об инцидентах защиты информации | О | О | О |
РИ.14 | Установление и применение единых правил закрытия инцидентов защиты информации | О | О | О |
7.7.2.4 Базовый состав мер по организации хранения и защите информации об инцидентах защиты информации применительно к уровням защиты информации приведен в таблице 39.
Таблица 39 - Базовый состав мер по организации хранения и защите информации об инцидентах защиты информации
Условное обозначение и номер меры | Содержание мер системы защиты информации | Уровень защиты информации | ||
3 | 2 | 1 | ||
РИ.15 | Реализация защиты информации об инцидентах защиты информации от НСД, обеспечение целостности и доступности указанной информации | Т | Т | Т |
РИ.16 | Разграничение доступа членов ГРИЗИ к информации об инцидентах защиты информации в соответствии с определенным распределением ролей, связанных с реагированием на инциденты защиты информации | Н | Т | Т |
РИ.17 | Обеспечение возможности доступа к информации об инцидентах защиты информации в течение трех лет | Т | Т | Н |
РИ.18 | Обеспечение возможности доступа к информации об инцидентах защиты информации в течение пяти лет | Н | Н | Т |
7.7.2.5 Базовый состав мер по регистрации событий защиты информации, связанных с результатами обнаружения инцидентов защиты информации и реагирования на них, применительно к уровням защиты информации приведен в таблице 40.
Таблица 40 - Базовый состав мер по регистрации событий защиты информации, связанных с результатами обнаружения инцидентов защиты информации и реагирования на них
Условное обозначение и номер меры | Содержание мер системы защиты информации | Уровень защиты информации | ||
3 | 2 | 1 | ||
РИ.19 | Регистрация доступа к информации об инцидентах защиты информации | Т | Т | Т |
7.8.1 Для обеспечения должного уровня защиты информации при использовании технологии виртуализации, организационные и технические меры, применяемые для защиты среды виртуализации, являются дополнительными и применяются в совокупности с иными мерами защиты информации, установленными настоящим стандартом.
Дополнительные организационные и технические меры, применяемые для защиты среды виртуализации, определяются для следующих процессов (подпроцессов) защиты информации, перечисленных в 7.1.1 настоящего стандарта:
- идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа;
- организацию идентификации, аутентификации, авторизации (разграничения доступа) при осуществлении логического доступа к виртуальным машинам и серверным компонентам виртуализации;
- регистрацию событий защиты информации, связанных с доступом к виртуальным машинам и серверным компонентам виртуализации.
Примечание - Рекомендации по обеспечению информационной безопасности при использовании технологии виртуализации в рамках реализации банковских технологических процессов приведены в [16] и ГОСТ Р 56938.
7.8.3 Базовый состав мер по организации идентификации, аутентификации, авторизации (разграничения доступа) при осуществлении логического доступа к виртуальным машинам и серверным компонентам виртуализации применительно к уровням защиты информации приведен в таблице 41.
Таблица 41 - Базовый состав мер по организации идентификации, аутентификации, авторизации (разграничения доступа) при осуществлении логического доступа к виртуальным машинам и серверным компонентам виртуализации
Условное обозначение и номер меры | Содержание мер системы защиты информации | Уровень защиты информации | ||
3 | 2 | 1 | ||
ЗСВ.1 | Разграничение и контроль осуществления одновременного доступа к виртуальным машинам с АРМ пользователей и эксплуатационного персонала только в пределах одного контура безопасности | Н | Т | Н |
ЗСВ.2 | Разграничение и контроль осуществления одновременного доступа к виртуальным машинам с АРМ пользователей и эксплуатационного персонала только в пределах одного контура безопасности на уровне не выше третьего (сетевой) по семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1 | Н | Н | Т |
ЗСВ.3 | Разграничение и контроль осуществления одновременного доступа виртуальных машин к системе хранения данных в пределах контура безопасности | Н | Т | Н |
ЗСВ.4 | Разграничение и контроль осуществления одновременного доступа виртуальных машин к системе хранения данных в пределах контура безопасности на уровне не выше третьего (сетевой) по семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1 | Н | Н | Т |
ЗСВ.5 | Идентификация и аутентификация пользователей серверными компонентами виртуализации и (или) средствами централизованных сервисов аутентификации при предоставлении доступа к виртуальным машинам | Т | Т | Т |
ЗСВ.6 | Реализация необходимых методов предоставления доступа к виртуальным машинам, обеспечивающих возможность доступа с использованием одних аутентификационных данных только к одной виртуальной машине | Н | Т | Н |
ЗСВ.7 | Реализация необходимых методов предоставления доступа к виртуальным машинам, обеспечивающих возможность доступа с использованием одних аутентификационных данных только к одной виртуальной машине с одного АРМ пользователя или эксплуатационного персонала | Н | Н | Т |
ЗСВ.8 | Обеспечение возможности принудительной блокировки (выключения) установленной сессии работы пользователя с виртуальной машиной | Т | Т | Т |
ЗСВ.9 | Контроль и протоколирование доступа эксплуатационного персонала к серверным компонентам виртуализации и системе хранения данных с реализацией двухфакторной аутентификации | Н | Т | Т |
ЗСВ.10 | Размещение средств защиты информации, используемых для организации контроля и протоколирования доступа эксплуатационного персонала к серверным компонентам виртуализации и системе хранения данных на физических СВТ | Н | Т | Т |
ЗСВ.11 | Реализация правил управления правами логического доступа, обеспечивающая запрет одновременного совмещения одним субъектом логического доступа следующих функций:- создание виртуальных машин, управление образами виртуальных машин на этапах их жизненного цикла;- предоставление доступа к виртуальным машинам, включая настройку виртуальных сегментов вычислительных сетей и применяемых средств защиты информации на уровне серверных компонентов виртуализации;- управление системы хранения данных;- управление настройками гипервизоров;- конфигурирование виртуальных сетей в рамках своего контура безопасности | Н | Н | Т |
ЗСВ.12 | Размещение серверных и пользовательских компонентов АС на разных виртуальных машинах | Н | О | О |
7.8.4 Базовый состав мер по организации сегментации и межсетевого экранирования вычислительных сетей, предназначенных для размещения виртуальных машин и серверных компонент виртуализации, применительно к уровням защиты информации приведен в таблице 42.
Таблица 42 - Базовый состав мер по организации и контролю информационного взаимодействия и изоляции виртуальных машин*
Условное обозначение и номер меры | Содержание мер системы защиты информации | Уровень защиты информации | ||
3 | 2 | 1 | ||
ЗСВ.13 | Выделение в вычислительных сетях финансовой организации отдельных сегментов (групп сегментов), в том числе виртуальных, используемых для размещения совокупности виртуальных машин, предназначенных для размещения серверных компонентов АС, включенных в разные контуры безопасности | Н | Т | Т |
ЗСВ.14 | Выделение в вычислительных сетях финансовой организации отдельных сегментов (групп сегментов), в том числе виртуальных, используемых для размещения совокупности виртуальных машин, предназначенных для размещения АРМ пользователей и эксплуатационного персонала, включенных в разные контуры безопасности | Н | Т | Т |
ЗСВ.15 | Организация информационного обмена между сегментами (группами сегментов) вычислительных сетей, определенных мерами ЗСВ.13 и ЗСВ.14 настоящей таблицы, физическим оборудованием (программно-аппаратным комплексом) и (или) программными средствами межсетевого экранирования, функционирующими на уровне гипервизора среды виртуализации | Н | Н | Т |
ЗСВ.16 | Межсетевое экранирование сегментов (групп сегментов) вычислительных сетей, определенных мерами ЗСВ.13 и ЗСВ.14 настоящей таблицы, включая фильтрацию данных на сетевом и прикладном уровнях семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1 | Н | Т | Т |
ЗСВ.17 | Реализация и контроль информационного взаимодействия между сегментами (группами сегментов) вычислительных сетей мерами, указанными в пунктах ЗСВ.13 и ЗСВ.14 настоящей таблицы, в соответствии с установленными правилами и протоколами сетевого взаимодействия | Н | Т | Т |
ЗСВ.18 | Реализация мер защиты информации ЗСВ.15-ЗСВ.17 настоящей таблицы физическим оборудованием (программно-аппаратным комплексом) и (или) программными средствами межсетевого экранирования, функционирующих на уровне гипервизора среды виртуализации | Н | Н | Т |
ЗСВ.19 | Организация и контроль информационного взаимодействия между виртуальными машинами разных АС в соответствии с установленными правилами и протоколами сетевого взаимодействия | Н | Н | Т |
ЗСВ.20 | Исключение возможности информационного взаимодействия и переноса информации между сегментами вычислительных сетей, входящими в разные контуры безопасности, с использованием АРМ пользователей и эксплуатационного персонала, эксплуатируемых для осуществления доступа к виртуальным машинам разных контуров безопасности | Н | Т | Т |
ЗСВ.21 | Выделение отдельных логических разделов системы хранения данных для каждого из контуров безопасности | Н | Т | Т |
ЗСВ.22 | Выделение отдельных сегментов управления, в которых располагаются АРМ эксплуатационного персонала, используемые для выполнения задач администрирования серверных компонент виртуализации и системы хранения данных* | Н | Н | Т |
| * Допускается использование единых сегментов управления, выделяемых в рамках выполнения меры ЗСВ.22 и меры СМЭ.9 таблицы 13. | ||||
* Меры по организации и контролю информационного взаимодействия и изоляции виртуальных машин применяются в совокупности с мерами по сегментации и межсетевому экранированию внутренних вычислительных сетей (см. меры СМЭ.1-СМЭ.13 таблицы 13).
7.8.5 Базовый состав мер по организации защиты образов виртуальных машин применительно к уровням защиты информации приведен в таблице 43.