Меры обеспечения безопасности значимого объекта
Раздел в стадии активного наполнения. По любым вопросам, предложениям и дополнениям можно обращаться через комментарии или лично.
I. Идентификация и аутентификация (ИАФ)
Для каких категорий значимости установлено: 3, 2, 1
Тип требования: Функциональное
Способы реализации:
- рекомендуемые: Встроенные механизмы обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
- возможные: СЗИ от НСД, система мониторинга
Возможности некоторых продуктов:
- DATAPK — В части доступа к DATAPK, также может быть использован для автоматизированного контроля реализации требования
- Secret Net Studio 8.2 — Возможность входа пользователей в систему, как по логину/паролю, так и с использованием аппаратных средств усиленной аутентификации. Стандартная аутентификация, усиленная аутентификация по ключу, усиленная аутентификация по паролю
- АПКШ Континент 3.7 — Аутентификация пользователей через «клиента аутентификации пользователя».
- Континент-АП + Сервер доступа 3.7 — Аутентификация на асимметричных ключах. Аутентификация до WinLogona.
- vGate 4.0 — Идентификация/аутентификация пользователей, поддержка электронных идентификаторов.
- Соболь 3.0 — Продукт выполняет требование
- InfoWatch Endpoint Security — Разграничение прав доступа пользователей к файлам
- InfoWatch Person Monitor — Контроль инициируемых пользователями процессов
Аналоги в других приказах ФСТЭК России:
- Приказ 17 — ИАФ.1 Идентификация и аутентификация пользователей, являющихся работниками оператора
- Приказ 21 — ИАФ.1 Идентификация и аутентификация пользователей, являющихся работниками оператора
- Приказ 31 — ИАФ.1 Идентификация и аутентификация пользователей и инициируемых ими процессов
Для каких категорий значимости установлено: 3, 2, 1
Тип требования: Функциональное
Способы реализации:
- рекомендуемые: Встроенные механизмы обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
- возможные: СЗИ от НСД, система мониторинга, межсетевой экран
Возможности некоторых продуктов:
- DATAPK — в DATAPK реализована идентификация устройств (функция инвентаризации), подключенных к сети и подключенных к рабочим местам, серверам и другим узлам сети
- Secret Net Studio 8.2 — Идентификация компьютеров, съемных машинных носителей информации
- АПКШ Континент 3.7 — Криптографические метки: ID КШ, наличие ключа
- Континент-АП + Сервер доступа 3.7 — Континент-АП аутентифицируется на конкретном устройстве — сервере доступа (использование сертификата СД)
- vGate 4.0 — Аутентификация ESXi, vCenter, Hyper-V внешних серверов и АРМов
- InfoWatch Endpoint Security и InfoWatch Traffic Monitor (модуль Device Monitor) — Ограничение возможности использования устройств
- InfoWatch ARMA Industrial Firewall — Использование портала авторизации, идентификации устройств по IP- и MAC-адресам
Аналоги в других приказах ФСТЭК России:
- Приказ 17 — ИАФ.2 Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных
- Приказ 21 — ИАФ.2 Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных
- Приказ 31 — ИАФ.2 Идентификация и аутентификация устройств
Для каких категорий значимости установлено: 3, 2, 1
Тип требования: Функциональное
Способы реализации:
- рекомендуемые: Встроенные механизмы обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п. — управление идентификаторами пользователей или служебными идентификаторами субъектов доступа (процессов, устройств)
- возможные: СЗИ от НСД, системы управления учётными данными и доступом (IAM), межсетевые экраны (МЭ, FW)
Возможности некоторых продуктов:
- DATAPK — DATAPK позволяет создавать, присваивать, изменять или уничтожать идентификаторы рабочих мест, серверов, программируемых логических контроллеров и другим узлам сети АСУ ТП, обнаруженным в ходе инвентаризации
- Secret Net Studio 8.2 — Управление учетными записями, присвоение аппаратных средств аутентификации
- АПКШ Континент 3.7 — ЦУС — управление КШ (создание КШ, удаление КШ, присвоение ID)
- Континент-АП + Сервер доступа 3.7 — Управление учетными записями на СД. Идентификатор-имя учетной записи.
- vGate 4.0 — Управление пользователями и электронными идентификаторами (eToken PRO, eToken PRO Java (USB, смарт-карта), JaCarta)
- Соболь 3.0 — Продукт выполняет требование
- InfoWatch Endpoint Security и InfoWatch Traffic Monitor (модуль Device Monitor) — Ограничение возможности использования устройств
- InfoWatch ARMA Industrial Firewall — В случае использования портала авторизации для внешних по отношению к АСУ пользователей возможно управление идентификаторами
Аналоги в других приказах ФСТЭК России:
- Приказ 17 — ИАФ.3 Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов
- Приказ 21 — ИАФ.3 Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов
- Приказ 31 — ИАФ.3 Управление идентификаторами
Для каких категорий значимости установлено: 3, 2, 1
Тип требования: Функциональное
Способы реализации:
- рекомендуемые: Управление средствами аутентификации осуществляется с помощью встроенных механизмов обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
- возможные: службы каталога, системы управления жизненным циклом сертификатов открытого ключа, СЗИ от НСД
Возможности некоторых продуктов:
- DATAPK — реализовано в части доступа к DATAPK
- Secret Net Studio 8.2 — Управление паролями, назначение аппаратных средств аутентификации. Интеграция с JaCarta Management System
- АПКШ Континент 3.7 — АРМ ГК-работа с носителями и ключами
ЦУС- криптографическая аутентификация КШ - Континент-АП + Сервер доступа 3.7 — Работа с ключами, сертификат и закрытый ключ отзыв сертификата
- vGate 4.0 — В рамках поддержки электронных идентификаторов
- Соболь 3.0 — Продукт выполняет требование
Аналоги в других приказах ФСТЭК России:
- Приказ 17 — ИАФ.4 Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации
- Приказ 21 — ИАФ.4 Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации
- Приказ 31 — ИАФ.4 Управление средствами аутентификации
Для каких категорий значимости установлено: 3, 2, 1
Тип требования: Функциональное
Способы реализации:
- рекомендуемые: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
- возможные: системы управления учётными данными и доступом ( IAM)
Возможности некоторых продуктов:
- DATAPK — В случае, если реализация требования зависит от настроек системного или прикладного программного обеспечения, DATAPK может использоваться для автоматизации контроля его выполнения, также реализовано в части доступа к DATAPK
- InfoWatch Traffic Monitor — Поддержка протоколов LDAP/OpenLDAP
Аналоги в других приказах ФСТЭК России:
- Приказ 17 — ИАФ.6 Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)
- Приказ 21 — ИАФ.6 Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)
- Приказ 31 — ИАФ.5 Идентификация и аутентификация внешних пользователей
Для каких категорий значимости установлено: —
Тип требования: Функциональное
Способы реализации:
- рекомендуемые: Встроенные механизмы обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
- возможные: системы управления учётными данными и доступом ( IAM)
Возможности некоторых продуктов:
- DATAPK — В случае, если реализация требования зависит от настроек системного или прикладного программного обеспечения, DATAPK может использоваться для автоматизации контроля его выполнения, также реализовано в части доступа к DATAPK
- Secret Net Studio 8.2 — Межсетевой экран, авторизация соединений
- АПКШ Континент 3.7 — Межсетевой экран, авторизация соединений
- Континент-АП + Сервер доступа 3.7 — Межсетевой экран, авторизация соединений
- vGate 4.0 — Двусторонняя аутентификация клиентов и СА
Аналоги в других приказах ФСТЭК России:
- Приказ 31 — ИАФ.6 Двусторонняя аутентификация
Для каких категорий значимости установлено: 3, 2, 1
Тип требования: Функциональное
Способы реализации:
- рекомендуемые: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
- возможные: системы управления учётными данными и доступом ( IAM)
Возможности некоторых продуктов:
- DATAPK — В случае, если реализация требования зависит от настроек системного или прикладного программного обеспечения, DATAPK может использоваться для автоматизации контроля его выполнения, также реализовано в части доступа к DATAPK
- Secret Net Studio 8.2 — Сокрытие вводимой парольной информации и информации для доступа к памяти ЭИ.
Защита от перехвата пароля при сетевых обращениях - АПКШ Континент 3.7 — Шифрованный канал
- Континент-АП + Сервер доступа 3.7 — Шифрованный канал
Сокрытие вводимой парольной информации. - vGate 4.0 — Сокрытие вводимой парольной информации, защита от перехвата вводимого пароля, кодированный канал при сетевой аутентификации
- Соболь 3.0 — Продукт выполняет требование
- InfoWatch Endpoint Security — Шифрование
Аналоги в других приказах ФСТЭК России:
- Приказ 31 — ИАФ.7 Защита аутентификационной информации при передаче
Начать обсуждение: rucybersecurity.ru