(Действующий) Национальный стандарт РФ ГОСТ Р 57580.1-2017 "Безопасность финансовых...

Докипедия просит пользователей использовать в своей электронной переписке скопированные части текстов нормативных документов. Автоматически генерируемые обратные ссылки на источник информации, доставят удовольствие вашим адресатам.

Действующий
- идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа;
- сегментация и межсетевое экранирование вычислительных сетей.
7.8.2 Применяемые финансовой организацией меры по защите среды виртуализации должны обеспечивать:
- организацию идентификации, аутентификации, авторизации (разграничения доступа) при осуществлении логического доступа к виртуальным машинам и серверным компонентам виртуализации;
- организацию и контроль информационного взаимодействия и изоляции виртуальных машин;
- организацию защиты образов виртуальных машин;
- регистрацию событий защиты информации, связанных с доступом к виртуальным машинам и серверным компонентам виртуализации.
Примечание - Рекомендации по обеспечению информационной безопасности при использовании технологии виртуализации в рамках реализации банковских технологических процессов приведены в [16] и ГОСТ Р 56938.
7.8.3 Базовый состав мер по организации идентификации, аутентификации, авторизации (разграничения доступа) при осуществлении логического доступа к виртуальным машинам и серверным компонентам виртуализации применительно к уровням защиты информации приведен в таблице 41.

Таблица 41 - Базовый состав мер по организации идентификации, аутентификации, авторизации (разграничения доступа) при осуществлении логического доступа к виртуальным машинам и серверным компонентам виртуализации

Условное обозначение и номер меры
Содержание мер системы защиты информации
Уровень защиты информации
3
2
1
ЗСВ.1
Разграничение и контроль осуществления одновременного доступа к виртуальным машинам с АРМ пользователей и эксплуатационного персонала только в пределах одного контура безопасности
Н
Т
Н
ЗСВ.2
Разграничение и контроль осуществления одновременного доступа к виртуальным машинам с АРМ пользователей и эксплуатационного персонала только в пределах одного контура безопасности на уровне не выше третьего (сетевой) по семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1
Н
Н
Т
ЗСВ.3
Разграничение и контроль осуществления одновременного доступа виртуальных машин к системе хранения данных в пределах контура безопасности
Н
Т
Н
ЗСВ.4
Разграничение и контроль осуществления одновременного доступа виртуальных машин к системе хранения данных в пределах контура безопасности на уровне не выше третьего (сетевой) по семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1
Н
Н
Т
ЗСВ.5
Идентификация и аутентификация пользователей серверными компонентами виртуализации и (или) средствами централизованных сервисов аутентификации при предоставлении доступа к виртуальным машинам
Т
Т
Т
ЗСВ.6
Реализация необходимых методов предоставления доступа к виртуальным машинам, обеспечивающих возможность доступа с использованием одних аутентификационных данных только к одной виртуальной машине
Н
Т
Н
ЗСВ.7
Реализация необходимых методов предоставления доступа к виртуальным машинам, обеспечивающих возможность доступа с использованием одних аутентификационных данных только к одной виртуальной машине с одного АРМ пользователя или эксплуатационного персонала
Н
Н
Т
ЗСВ.8
Обеспечение возможности принудительной блокировки (выключения) установленной сессии работы пользователя с виртуальной машиной
Т
Т
Т
ЗСВ.9
Контроль и протоколирование доступа эксплуатационного персонала к серверным компонентам виртуализации и системе хранения данных с реализацией двухфакторной аутентификации
Н
Т
Т
ЗСВ.10
Размещение средств защиты информации, используемых для организации контроля и протоколирования доступа эксплуатационного персонала к серверным компонентам виртуализации и системе хранения данных на физических СВТ
Н
Т
Т
ЗСВ.11
Реализация правил управления правами логического доступа, обеспечивающая запрет одновременного совмещения одним субъектом логического доступа следующих функций:- создание виртуальных машин, управление образами виртуальных машин на этапах их жизненного цикла;- предоставление доступа к виртуальным машинам, включая настройку виртуальных сегментов вычислительных сетей и применяемых средств защиты информации на уровне серверных компонентов виртуализации;- управление системы хранения данных;- управление настройками гипервизоров;- конфигурирование виртуальных сетей в рамках своего контура безопасности
Н
Н
Т
ЗСВ.12
Размещение серверных и пользовательских компонентов АС на разных виртуальных машинах
Н
О
О
7.8.4 Базовый состав мер по организации сегментации и межсетевого экранирования вычислительных сетей, предназначенных для размещения виртуальных машин и серверных компонент виртуализации, применительно к уровням защиты информации приведен в таблице 42.

Таблица 42 - Базовый состав мер по организации и контролю информационного взаимодействия и изоляции виртуальных машин*

Условное обозначение и номер меры
Содержание мер системы защиты информации
Уровень защиты информации
3
2
1
ЗСВ.13
Выделение в вычислительных сетях финансовой организации отдельных сегментов (групп сегментов), в том числе виртуальных, используемых для размещения совокупности виртуальных машин, предназначенных для размещения серверных компонентов АС, включенных в разные контуры безопасности
Н
Т
Т
ЗСВ.14
Выделение в вычислительных сетях финансовой организации отдельных сегментов (групп сегментов), в том числе виртуальных, используемых для размещения совокупности виртуальных машин, предназначенных для размещения АРМ пользователей и эксплуатационного персонала, включенных в разные контуры безопасности
Н
Т
Т
ЗСВ.15
Организация информационного обмена между сегментами (группами сегментов) вычислительных сетей, определенных мерами ЗСВ.13 и ЗСВ.14 настоящей таблицы, физическим оборудованием (программно-аппаратным комплексом) и (или) программными средствами межсетевого экранирования, функционирующими на уровне гипервизора среды виртуализации
Н
Н
Т
ЗСВ.16
Межсетевое экранирование сегментов (групп сегментов) вычислительных сетей, определенных мерами ЗСВ.13 и ЗСВ.14 настоящей таблицы, включая фильтрацию данных на сетевом и прикладном уровнях семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1
Н
Т
Т
ЗСВ.17
Реализация и контроль информационного взаимодействия между сегментами (группами сегментов) вычислительных сетей мерами, указанными в пунктах ЗСВ.13 и ЗСВ.14 настоящей таблицы, в соответствии с установленными правилами и протоколами сетевого взаимодействия
Н
Т
Т
ЗСВ.18
Реализация мер защиты информации ЗСВ.15-ЗСВ.17 настоящей таблицы физическим оборудованием (программно-аппаратным комплексом) и (или) программными средствами межсетевого экранирования, функционирующих на уровне гипервизора среды виртуализации
Н
Н
Т
ЗСВ.19
Организация и контроль информационного взаимодействия между виртуальными машинами разных АС в соответствии с установленными правилами и протоколами сетевого взаимодействия
Н
Н
Т
ЗСВ.20
Исключение возможности информационного взаимодействия и переноса информации между сегментами вычислительных сетей, входящими в разные контуры безопасности, с использованием АРМ пользователей и эксплуатационного персонала, эксплуатируемых для осуществления доступа к виртуальным машинам разных контуров безопасности
Н
Т
Т
ЗСВ.21
Выделение отдельных логических разделов системы хранения данных для каждого из контуров безопасности
Н
Т
Т
ЗСВ.22
Выделение отдельных сегментов управления, в которых располагаются АРМ эксплуатационного персонала, используемые для выполнения задач администрирования серверных компонент виртуализации и системы хранения данных*
Н
Н
Т
* Допускается использование единых сегментов управления, выделяемых в рамках выполнения меры ЗСВ.22 и меры СМЭ.9 таблицы 13.
* Меры по организации и контролю информационного взаимодействия и изоляции виртуальных машин применяются в совокупности с мерами по сегментации и межсетевому экранированию внутренних вычислительных сетей (см. меры СМЭ.1-СМЭ.13 таблицы 13).
7.8.5 Базовый состав мер по организации защиты образов виртуальных машин применительно к уровням защиты информации приведен в таблице 43.

Таблица 43 - Базовый состав мер по организации защиты образов виртуальных машин

Условное обозначение и номер меры
Содержание мер системы защиты информации
Уровень защиты информации
3
2
1
ЗСВ.23
Регламентация и контроль выполнения:- операций в рамках жизненного цикла базовых образов виртуальных машин;- операций по копированию образов виртуальных машин
Н
О
О
ЗСВ.24
Включение только в базовые образы виртуальных машин следующего ПО:- ПО технических мер защиты информации, применяемых в пределах виртуальных машин;- ПО АС
Н
О
О
ЗСВ.25
Отнесение каждой из виртуальных машин только к одному из контуров безопасности
Н
О
О
ЗСВ.26
Контроль целостности, выполняемый при запуске (загрузке) виртуальной машины:- базового образа виртуальной машины;- ПО, включенного в пользовательский профиль виртуальной машины;- параметров настроек ПО технических мер защиты информации, применяемых в пределах виртуальных машин
Н
Н
Т
ЗСВ.27
Запрет на копирование текущих образов виртуальных машин, использующих СКЗИ, с загруженными криптографическими ключами
О
О
О
ЗСВ.28
Запрет на копирование текущих образов виртуальных машин, используемых для реализации технологии виртуализации АРМ пользователей
О
О
О
ЗСВ.29
Запрет сохранения изменений, произведенных пользователями в процессе работы их виртуальных машин, в базовом образе виртуальных машин
Н
Н
Т
ЗСВ.30
Контроль завершения сеанса работы пользователей с виртуальными машинами
Н
Т
Н
ЗСВ.31
Контроль завершения сеанса работы пользователей с виртуальными машинами и обеспечение последующей работы виртуальной машины с использованием базового образа
Н
Н
Т
7.8.6 Базовый состав мер по регистрации событий защиты информации, связанных с доступом к виртуальным машинам и серверным компонентам виртуализации, применительно к уровням защиты информации приведен в таблице 44.

Таблица 44 - Базовый состав мер по регистрации событий защиты информации, связанных с доступом к виртуальным машинам и серверным компонентам виртуализации

Условное обозначение и номер меры
Содержание мер системы защиты информации
Уровень защиты информации
3
2
1
ЗСВ.32
Регистрация операций, связанных с запуском (остановкой) виртуальных машин
Т
Т
Т
ЗСВ.33
Регистрация операций, связанных с изменением параметров настроек виртуальных сетевых сегментов, реализованных средствами гипервизора
Н
Т
Т
ЗСВ.34
Регистрация операций, связанных с созданием и удалением виртуальных машин
Т
Т
Т
ЗСВ.35
Регистрация операций, связанных с созданием, изменением, копированием, удалением базовых образов виртуальных машин
Т
Т
Т
ЗСВ.36
Регистрация операций, связанных с копированием текущих образов виртуальных машин
Т
Т
Т
ЗСВ.37
Регистрация операций, связанных с изменением прав логического доступа к серверным компонентам виртуализации
Т
Т
Т
ЗСВ.38
Регистрация операций, связанных с изменением параметров настроек серверных компонентов виртуализации
Т
Т
Т
ЗСВ.39
Регистрация операций, связанных с аутентификацией и авторизацией эксплуатационного персонала при осуществлении доступа к серверным компонентам виртуализации
Т
Т
Т
ЗСВ.40
Регистрация операций, связанных с аутентификацией и авторизацией пользователей при осуществлении доступа к виртуальным машинам
Т
Т
Т
ЗСВ.41
Регистрация операций, связанных с запуском (остановкой) ПО серверных компонентов виртуализации
Н
Н
Т
ЗСВ.42
Регистрация операций, связанных с изменением параметров настроек технических мер защиты информации, используемых для реализации контроля доступа к серверным компонентам виртуализации
Т
Т
Т
ЗСВ.43
Регистрация операций, связанных с изменением настроек технических мер защиты информации, используемых для обеспечения защиты виртуальных машин
Т
Т
Т

7.9 Процесс 8 "Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств"

7.9.1 Применяемые финансовой организацией меры по защите информации при осуществлении удаленного логического доступа работников финансовой организации с использованием мобильных (переносных) устройств должны обеспечивать:
- защиту информации от раскрытия и модификации при осуществлении удаленного доступа;
- защиту внутренних вычислительных сетей при осуществлении удаленного доступа;
- защиту информации от раскрытия и модификации при ее обработке и хранении на мобильных (переносных) устройствах.
7.9.2 Базовый состав мер по защите информации от раскрытия и модификации при осуществлении удаленного доступа применительно к уровням защиты информации приведен в таблице 45.

Таблица 45 - Базовый состав мер по защите информации от раскрытия и модификации при осуществлении удаленного доступа

Условное обозначение и номер меры
Содержание мер системы защиты информации
Уровень защиты информации
3
2
1
ЗУД.1
Определение правил удаленного доступа и перечня ресурсов доступа, к которым предоставляется удаленный доступ
О
О
О
ЗУД.2
Аутентификация мобильных (переносных) устройств удаленного доступа
Т
Т
Т
ЗУД.3
Предоставление удаленного доступа только с использованием мобильных (переносных) устройств доступа, находящихся под контролем системы централизованного управления и мониторинга (системы Mobile Device Management, MDM)
Н
Т
Т
ЗУД.4
Реализация защиты информации от раскрытия и модификации, применение двухсторонней взаимной аутентификации участников информационного обмена при ее передаче при осуществлении удаленного логического доступа
Т
Т
Т
7.9.3 Базовый состав мер по защите внутренних вычислительных сетей при осуществлении удаленного доступа применительно к уровням защиты информации приведен в таблице 46.

Таблица 46 - Базовый состав мер по защите внутренних вычислительных сетей при осуществлении удаленного доступа

Условное обозначение и номер меры
Содержание мер системы защиты информации
Уровень защиты информации
3
2
1
ЗУД.5
Идентификация, двухфакторная аутентификация и авторизация субъектов доступа после установления защищенного сетевого взаимодействия, выполнения аутентификации, предусмотренной мерами ЗУД.2 и ЗУД.4 таблицы 45
Т
Т
Т
ЗУД.6
Запрет прямого сетевого взаимодействия мобильных (переносных) устройств доступа и внутренних сетей финансовой организации на уровне выше второго (канальный) по семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1
Н
Т
Т
ЗУД.7
Реализация доступа к ресурсам сети Интернет только через информационную инфраструктуру финансовой организации после установления защищенного сетевого взаимодействия, выполнения аутентификации, предусмотренной мерами ЗУД.2 и ЗУД.4 таблицы 45
Н
Т
Т
ЗУД.8
Контентный анализ информации, передаваемой мобильными (переносными) устройствами в сеть Интернет с использованием информационной инфраструктуры финансовой организации
Н
Т
Т
ЗУД.9
Реализация и контроль информационного взаимодействия внутренних вычислительных сетей финансовой организации и мобильных (переносных) устройств в соответствии с установленными правилами и протоколами сетевого взаимодействия
Т
Т
Т
7.9.4 Базовый состав мер по защите информации от раскрытия и модификации при ее обработке и хранении на мобильных (переносных) устройствах применительно к уровням защиты информации приведен в таблице 47.

Таблица 47 - Базовый состав мер по защите информации от раскрытия и модификации при ее обработке и хранении на мобильных (переносных) устройствах

Условное обозначение и номер меры
Содержание мер системы защиты информации
Уровень защиты информации
3
2
1
ЗУД.10
Применение системы централизованного управления и мониторинга (MDM-системы), реализующей:- шифрование и возможность удаленного удаления информации, полученной в результате взаимодействия с информационными ресурсами финансовой организации;- аутентификацию пользователей на устройстве доступа;- блокировку устройства по истечении определенного промежутка времени неактивности пользователя, требующую выполнения повторной аутентификации пользователя на устройстве доступа;- управление обновлениями системного ПО устройств доступа;- управление параметрами настроек безопасности системного ПО устройств доступа;- управление составом и обновлениями прикладного ПО;- невозможность использования мобильного (переносного) устройства в режиме USB-накопителя, а также в режиме отладки;- управление ключевой информацией, используемой для организации защищенного сетевого взаимодействия;- возможность определения местонахождения устройства доступа;- регистрацию смены SIM-карты;- запрет переноса информации в облачные хранилища данных, расположенные в общедоступных сетях (например, iCIoud);- обеспечение возможности централизованного управления и мониторинга при смене SIM-карты
Н
Т
Т
ЗУД.11
Обеспечение защиты мобильных (переносных) устройств от воздействий вредоносного кода
Т
Т
Т
ЗУД.12
Стирание информации конфиденциального характера с мобильных (переносных) устройств средствами, обеспечивающими полную перезапись данных, при осуществлении вывода мобильных (переносных) устройств из эксплуатации, а также при необходимости их передачи в сторонние организации, между работниками и (или) структурными подразделениями финансовой организации
Т
Т
Т

8 Требования к организации и управлению защитой информации

8.1 Общие положения

8.1.1 Разделы 8 и 9 настоящего стандарта устанавливают требования к содержанию базового состава мер защиты информации, входящих в состав системы организации и управления защитой информации, направленных на обеспечение должной полноты и качества реализации системы защиты информации.
8.1.2 Меры системы организации и управления защитой информации применяются:
- на системных уровнях информационной инфраструктуры (определенных в 6.2 настоящего стандарта). Требования к содержанию базового состава мер системы организации и управления защитой информации, применяемых на системных уровнях, установлены в настоящем разделе;
- на этапах жизненного цикла АС и приложений, используемых для обработки, передачи и (или) хранения защищаемой информации в рамках выполнения и (или) обеспечения выполнения бизнес-процессов или технологических процессов финансовой организации. Требования к содержанию базового состава мер системы организации и управления защитой информации, применяемых на этапах жизненного цикла АС и приложений, установлены в разделе 9 настоящего стандарта.
8.1.3 Меры системы организации и управления защитой информации на системных уровнях применяются для каждого отдельного процесса (направления) защиты информации из числа мер, определенных в разделе 7 настоящего стандарта.
8.1.4 Меры системы организации и управления защитой информации на системных уровнях применяются в рамках следующих направлений защиты информации:
- направление 1 "Планирование процесса системы защиты информации" ("Планирование");
- направление 2 "Реализация процесса системы защиты информации" ("Реализация");
- направление 3 "Контроль процесса системы защиты информации" ("Контроль");
- направление 4 "Совершенствование процесса системы защиты информации" ("Совершенствование").
8.1.5 Способы реализации мер системы организации и управления защитой информации, установленные в таблицах раздела 8 настоящего стандарта, обозначены как в 7.1.6.

8.2 Направление 1 "Планирование процесса системы защиты информации"

8.2.1 В рамках направления "Планирование" финансовая организация обеспечивает определение (пересмотр):