Действующий
7.8.4 Базовый состав мер по организации сегментации и межсетевого экранирования вычислительных сетей, предназначенных для размещения виртуальных машин и серверных компонент виртуализации, применительно к уровням защиты информации приведен в таблице 42.
Таблица 42 - Базовый состав мер по организации и контролю информационного взаимодействия и изоляции виртуальных машин*
Условное обозначение и номер меры | Содержание мер системы защиты информации | Уровень защиты информации | ||
3 | 2 | 1 | ||
ЗСВ.13 | Выделение в вычислительных сетях финансовой организации отдельных сегментов (групп сегментов), в том числе виртуальных, используемых для размещения совокупности виртуальных машин, предназначенных для размещения серверных компонентов АС, включенных в разные контуры безопасности | Н | Т | Т |
ЗСВ.14 | Выделение в вычислительных сетях финансовой организации отдельных сегментов (групп сегментов), в том числе виртуальных, используемых для размещения совокупности виртуальных машин, предназначенных для размещения АРМ пользователей и эксплуатационного персонала, включенных в разные контуры безопасности | Н | Т | Т |
ЗСВ.15 | Организация информационного обмена между сегментами (группами сегментов) вычислительных сетей, определенных мерами ЗСВ.13 и ЗСВ.14 настоящей таблицы, физическим оборудованием (программно-аппаратным комплексом) и (или) программными средствами межсетевого экранирования, функционирующими на уровне гипервизора среды виртуализации | Н | Н | Т |
ЗСВ.16 | Межсетевое экранирование сегментов (групп сегментов) вычислительных сетей, определенных мерами ЗСВ.13 и ЗСВ.14 настоящей таблицы, включая фильтрацию данных на сетевом и прикладном уровнях семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1 | Н | Т | Т |
ЗСВ.17 | Реализация и контроль информационного взаимодействия между сегментами (группами сегментов) вычислительных сетей мерами, указанными в пунктах ЗСВ.13 и ЗСВ.14 настоящей таблицы, в соответствии с установленными правилами и протоколами сетевого взаимодействия | Н | Т | Т |
ЗСВ.18 | Реализация мер защиты информации ЗСВ.15-ЗСВ.17 настоящей таблицы физическим оборудованием (программно-аппаратным комплексом) и (или) программными средствами межсетевого экранирования, функционирующих на уровне гипервизора среды виртуализации | Н | Н | Т |
ЗСВ.19 | Организация и контроль информационного взаимодействия между виртуальными машинами разных АС в соответствии с установленными правилами и протоколами сетевого взаимодействия | Н | Н | Т |
ЗСВ.20 | Исключение возможности информационного взаимодействия и переноса информации между сегментами вычислительных сетей, входящими в разные контуры безопасности, с использованием АРМ пользователей и эксплуатационного персонала, эксплуатируемых для осуществления доступа к виртуальным машинам разных контуров безопасности | Н | Т | Т |
ЗСВ.21 | Выделение отдельных логических разделов системы хранения данных для каждого из контуров безопасности | Н | Т | Т |
ЗСВ.22 | Выделение отдельных сегментов управления, в которых располагаются АРМ эксплуатационного персонала, используемые для выполнения задач администрирования серверных компонент виртуализации и системы хранения данных* | Н | Н | Т |
| * Допускается использование единых сегментов управления, выделяемых в рамках выполнения меры ЗСВ.22 и меры СМЭ.9 таблицы 13. | ||||
* Меры по организации и контролю информационного взаимодействия и изоляции виртуальных машин применяются в совокупности с мерами по сегментации и межсетевому экранированию внутренних вычислительных сетей (см. меры СМЭ.1-СМЭ.13 таблицы 13).
7.8.5 Базовый состав мер по организации защиты образов виртуальных машин применительно к уровням защиты информации приведен в таблице 43.
Условное обозначение и номер меры | Содержание мер системы защиты информации | Уровень защиты информации | ||
3 | 2 | 1 | ||
ЗСВ.23 | Регламентация и контроль выполнения:- операций в рамках жизненного цикла базовых образов виртуальных машин;- операций по копированию образов виртуальных машин | Н | О | О |
ЗСВ.24 | Включение только в базовые образы виртуальных машин следующего ПО:- ПО технических мер защиты информации, применяемых в пределах виртуальных машин;- ПО АС | Н | О | О |
ЗСВ.25 | Отнесение каждой из виртуальных машин только к одному из контуров безопасности | Н | О | О |
ЗСВ.26 | Контроль целостности, выполняемый при запуске (загрузке) виртуальной машины:- базового образа виртуальной машины;- ПО, включенного в пользовательский профиль виртуальной машины;- параметров настроек ПО технических мер защиты информации, применяемых в пределах виртуальных машин | Н | Н | Т |
ЗСВ.27 | Запрет на копирование текущих образов виртуальных машин, использующих СКЗИ, с загруженными криптографическими ключами | О | О | О |
ЗСВ.28 | Запрет на копирование текущих образов виртуальных машин, используемых для реализации технологии виртуализации АРМ пользователей | О | О | О |
ЗСВ.29 | Запрет сохранения изменений, произведенных пользователями в процессе работы их виртуальных машин, в базовом образе виртуальных машин | Н | Н | Т |
ЗСВ.30 | Контроль завершения сеанса работы пользователей с виртуальными машинами | Н | Т | Н |
ЗСВ.31 | Контроль завершения сеанса работы пользователей с виртуальными машинами и обеспечение последующей работы виртуальной машины с использованием базового образа | Н | Н | Т |
7.8.6 Базовый состав мер по регистрации событий защиты информации, связанных с доступом к виртуальным машинам и серверным компонентам виртуализации, применительно к уровням защиты информации приведен в таблице 44.
Таблица 44 - Базовый состав мер по регистрации событий защиты информации, связанных с доступом к виртуальным машинам и серверным компонентам виртуализации
Условное обозначение и номер меры | Содержание мер системы защиты информации | Уровень защиты информации | ||
3 | 2 | 1 | ||
ЗСВ.32 | Регистрация операций, связанных с запуском (остановкой) виртуальных машин | Т | Т | Т |
ЗСВ.33 | Регистрация операций, связанных с изменением параметров настроек виртуальных сетевых сегментов, реализованных средствами гипервизора | Н | Т | Т |
ЗСВ.34 | Регистрация операций, связанных с созданием и удалением виртуальных машин | Т | Т | Т |
ЗСВ.35 | Регистрация операций, связанных с созданием, изменением, копированием, удалением базовых образов виртуальных машин | Т | Т | Т |
ЗСВ.36 | Регистрация операций, связанных с копированием текущих образов виртуальных машин | Т | Т | Т |
ЗСВ.37 | Регистрация операций, связанных с изменением прав логического доступа к серверным компонентам виртуализации | Т | Т | Т |
ЗСВ.38 | Регистрация операций, связанных с изменением параметров настроек серверных компонентов виртуализации | Т | Т | Т |
ЗСВ.39 | Регистрация операций, связанных с аутентификацией и авторизацией эксплуатационного персонала при осуществлении доступа к серверным компонентам виртуализации | Т | Т | Т |
ЗСВ.40 | Регистрация операций, связанных с аутентификацией и авторизацией пользователей при осуществлении доступа к виртуальным машинам | Т | Т | Т |
ЗСВ.41 | Регистрация операций, связанных с запуском (остановкой) ПО серверных компонентов виртуализации | Н | Н | Т |
ЗСВ.42 | Регистрация операций, связанных с изменением параметров настроек технических мер защиты информации, используемых для реализации контроля доступа к серверным компонентам виртуализации | Т | Т | Т |
ЗСВ.43 | Регистрация операций, связанных с изменением настроек технических мер защиты информации, используемых для обеспечения защиты виртуальных машин | Т | Т | Т |
7.9 Процесс 8 "Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств"
7.9.1 Применяемые финансовой организацией меры по защите информации при осуществлении удаленного логического доступа работников финансовой организации с использованием мобильных (переносных) устройств должны обеспечивать:
- защиту информации от раскрытия и модификации при ее обработке и хранении на мобильных (переносных) устройствах.
7.9.2 Базовый состав мер по защите информации от раскрытия и модификации при осуществлении удаленного доступа применительно к уровням защиты информации приведен в таблице 45.
Таблица 45 - Базовый состав мер по защите информации от раскрытия и модификации при осуществлении удаленного доступа
Условное обозначение и номер меры | Содержание мер системы защиты информации | Уровень защиты информации | ||
3 | 2 | 1 | ||
ЗУД.1 | Определение правил удаленного доступа и перечня ресурсов доступа, к которым предоставляется удаленный доступ | О | О | О |
ЗУД.2 | Аутентификация мобильных (переносных) устройств удаленного доступа | Т | Т | Т |
ЗУД.3 | Предоставление удаленного доступа только с использованием мобильных (переносных) устройств доступа, находящихся под контролем системы централизованного управления и мониторинга (системы Mobile Device Management, MDM) | Н | Т | Т |
ЗУД.4 | Реализация защиты информации от раскрытия и модификации, применение двухсторонней взаимной аутентификации участников информационного обмена при ее передаче при осуществлении удаленного логического доступа | Т | Т | Т |
7.9.3 Базовый состав мер по защите внутренних вычислительных сетей при осуществлении удаленного доступа применительно к уровням защиты информации приведен в таблице 46.
Таблица 46 - Базовый состав мер по защите внутренних вычислительных сетей при осуществлении удаленного доступа
Условное обозначение и номер меры | Содержание мер системы защиты информации | Уровень защиты информации | ||
3 | 2 | 1 | ||
ЗУД.5 | Идентификация, двухфакторная аутентификация и авторизация субъектов доступа после установления защищенного сетевого взаимодействия, выполнения аутентификации, предусмотренной мерами ЗУД.2 и ЗУД.4 таблицы 45 | Т | Т | Т |
ЗУД.6 | Запрет прямого сетевого взаимодействия мобильных (переносных) устройств доступа и внутренних сетей финансовой организации на уровне выше второго (канальный) по семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1 | Н | Т | Т |
ЗУД.7 | Реализация доступа к ресурсам сети Интернет только через информационную инфраструктуру финансовой организации после установления защищенного сетевого взаимодействия, выполнения аутентификации, предусмотренной мерами ЗУД.2 и ЗУД.4 таблицы 45 | Н | Т | Т |
ЗУД.8 | Контентный анализ информации, передаваемой мобильными (переносными) устройствами в сеть Интернет с использованием информационной инфраструктуры финансовой организации | Н | Т | Т |
ЗУД.9 | Реализация и контроль информационного взаимодействия внутренних вычислительных сетей финансовой организации и мобильных (переносных) устройств в соответствии с установленными правилами и протоколами сетевого взаимодействия | Т | Т | Т |
7.9.4 Базовый состав мер по защите информации от раскрытия и модификации при ее обработке и хранении на мобильных (переносных) устройствах применительно к уровням защиты информации приведен в таблице 47.
Таблица 47 - Базовый состав мер по защите информации от раскрытия и модификации при ее обработке и хранении на мобильных (переносных) устройствах
Условное обозначение и номер меры | Содержание мер системы защиты информации | Уровень защиты информации | ||
3 | 2 | 1 | ||
ЗУД.10 | Применение системы централизованного управления и мониторинга (MDM-системы), реализующей:- шифрование и возможность удаленного удаления информации, полученной в результате взаимодействия с информационными ресурсами финансовой организации;- аутентификацию пользователей на устройстве доступа;- блокировку устройства по истечении определенного промежутка времени неактивности пользователя, требующую выполнения повторной аутентификации пользователя на устройстве доступа;- управление обновлениями системного ПО устройств доступа;- управление параметрами настроек безопасности системного ПО устройств доступа;- управление составом и обновлениями прикладного ПО;- невозможность использования мобильного (переносного) устройства в режиме USB-накопителя, а также в режиме отладки;- управление ключевой информацией, используемой для организации защищенного сетевого взаимодействия;- возможность определения местонахождения устройства доступа;- регистрацию смены SIM-карты;- запрет переноса информации в облачные хранилища данных, расположенные в общедоступных сетях (например, iCIoud);- обеспечение возможности централизованного управления и мониторинга при смене SIM-карты | Н | Т | Т |
ЗУД.11 | Обеспечение защиты мобильных (переносных) устройств от воздействий вредоносного кода | Т | Т | Т |
ЗУД.12 | Стирание информации конфиденциального характера с мобильных (переносных) устройств средствами, обеспечивающими полную перезапись данных, при осуществлении вывода мобильных (переносных) устройств из эксплуатации, а также при необходимости их передачи в сторонние организации, между работниками и (или) структурными подразделениями финансовой организации | Т | Т | Т |
- на системных уровнях информационной инфраструктуры (определенных в 6.2 настоящего стандарта). Требования к содержанию базового состава мер системы организации и управления защитой информации, применяемых на системных уровнях, установлены в настоящем разделе;
- на этапах жизненного цикла АС и приложений, используемых для обработки, передачи и (или) хранения защищаемой информации в рамках выполнения и (или) обеспечения выполнения бизнес-процессов или технологических процессов финансовой организации. Требования к содержанию базового состава мер системы организации и управления защитой информации, применяемых на этапах жизненного цикла АС и приложений, установлены в разделе 9 настоящего стандарта.
8.1.3 Меры системы организации и управления защитой информации на системных уровнях применяются для каждого отдельного процесса (направления) защиты информации из числа мер, определенных в разделе 7 настоящего стандарта.
8.1.4 Меры системы организации и управления защитой информации на системных уровнях применяются в рамках следующих направлений защиты информации:
8.2.1 В рамках направления "Планирование" финансовая организация обеспечивает определение (пересмотр):
- состава применяемых (а также не применяемых) мер защиты информации из числа мер, определенных в разделах 7, 8 и 9 настоящего стандарта;
- состава и содержания мер защиты информации, являющихся дополнительными к базовому составу мер, определенных в разделах 7, 8 и 9 настоящего стандарта, определяемых на основе актуальных угроз защиты информации, требований к защите информации, установленных нормативными правовыми актами в области обеспечения безопасности и защиты информации;
Реализация деятельности в рамках направления "Планирование" осуществляется на основе политики финансовой организации в отношении целевых показателей величины допустимого остаточного операционного риска (риск-аппетита), связанного с обеспечением безопасности информации, а также при необходимости на основе результатов деятельности в рамках направления "Совершенствование".
Примечание - Рекомендации по документированию деятельности в области обеспечения информационной безопасности приведены в [17].
Условное обозначение и номер меры | Содержание мер системы защиты информации | Уровень защиты информации | ||
3 | 2 | 1 | ||
ПЗИ.1 | Документарное определение области применения процесса системы защиты информации* для уровней информационной инфраструктуры, определенных в 6.2 настоящего стандарта | О | О | О |
ПЗИ.2 | Документарное определение состава (с указанием соответствия настоящему стандарту) и содержания организационных мер защиты информации, выбранных финансовой организацией и реализуемых в рамках процесса системы защиты информации | О | О | О |
ПЗИ.3 | Документарное определение порядка применения организационных мер защиты информации, реализуемых в рамках процесса системы защиты информации | О | О | О |
ПЗИ.4 | Документарное определение состава (с указанием соответствия настоящему стандарту) и содержания технических мер защиты информации, выбранных финансовой организацией и реализуемых в рамках процесса системы защиты информации | О | О | О |
ПЗИ.5 | Документарное определение порядка применения технических мер защиты информации, реализуемых в рамках процесса системы защиты информации, включающего:- правила размещения технических мер защиты информации в информационной инфраструктуре;- параметры настроек технических мер защиты информации и информационной инфраструктуры, предназначенных для размещения технических мер защиты информации**;- руководства по применению технических мер защиты информации (включающие руководства по эксплуатации, контролю эксплуатации и использованию по назначению технических мер защиты информации);- состав ролей и права субъектов доступа, необходимых для обеспечения применения технических мер защиты информации (включающего эксплуатацию, контроль эксплуатации и использование по назначению мер защиты информации) | О | О | О |
| * Область применения процесса системы защиты информации определяется в соответствии с положениями нормативных актов Банка России.** Параметры настроек компонентов информационной инфраструктуры, предназначенных для размещения технических мер защиты информации, определяются в случае необходимости. | ||||