По любым вопросам, предложениям и дополнениям можно обращаться описанным тут способом.

Меры обеспечения безопасности значимого объекта

Установлены Приказом ФСТЭК России №239 от 25.12.2017 «Об утверждении Требований по обеспечению безопасности значимых объектов КИИ РФ».

Действующая на момент актуализации редакция:

I. Идентификация и аутентификация (ИАФ)

Наверх

ИАФ.0 Регламентация правил и процедур идентификации и аутентификации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Процедурное

Способ реализации: Организационные мероприятия -  разработка правил и процедур (политик) идентификации и аутентификации субъектов доступа и объектов доступа. Реализуется путём выполнения положений внутренних документов.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ИАФ.0 Разработка политики идентификации и аутентификации

Наверх

Обратно к I. Идентификация и аутентификация (ИАФ)

ИАФ.1 Идентификация и аутентификация пользователей и инициируемых ими процессов

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Встроенные механизмы обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п. в части идентификации и аутентификации пользователей, являющихся работниками/сотрудниками субъекта КИИ.
  • возможные: СЗИ от НСД (например, для усиленной аутентификации при входе пользователя), системы контроля действий привилегированных пользователей, система мониторинга

Возможности некоторых продуктов:

  • CL DATAPK - В части доступа к DATAPK, также может быть использован для автоматизированного контроля реализации требования.
  • Secret Net Studio 8.5 - Возможность входа пользователей в систему, как по логину/паролю, так и с использованием аппаратных средств усиленной аутентификации. Стандартная аутентификация, усиленная аутентификация по ключу, усиленная аутентификация по паролю
  • Secret Net Studio - C 8.5 - Возможность входа пользователей в систему, как по логину/паролю, так и с использованием аппаратных средств усиленной аутентификации. Стандартная аутентификация, усиленная аутентификация по ключу, усиленная аутентификация по паролю
  • Secret Net LSP 1.9 - Возможность входа пользователей в систему, как по логину/паролю, так и с использованием аппаратных средств усиленной аутентификации. Стандартная аутентификация, усиленная аутентификация по ключу, усиленная аутентификация по паролю
  • ПАК “Соболь” 3.0.9 (M2) - Идентификация и усиленная (двухфакторная) аутентификация пользователей с использованием персональных идентификаторов.
  • Соболь 4.2 - Идентификация и усиленная (двухфакторная) аутентификация пользователей с использованием персональных идентификаторов.
  • АПКШ Континент 3.7 - Аутентификация пользователей через “клиента аутентификации пользователя”.
  • Континент-АП + Сервер доступа 3.7 - Аутентификация на асимметричных ключах. Аутентификация до WinLogona.
  • vGate 4.0 - Идентификация/аутентификация пользователей, поддержка электронных идентификаторов.
  • InfoWatch Endpoint Security - Разграничение прав доступа пользователей к файлам
  • InfoWatch Person Monitor - Контроль инициируемых пользователями процессов
  • InfoWatch Traffic Monitor - Ограничение возможности использования устройств (модуль Device Monitor)

  • InfoWatch ARMA (Firewall, Endpoint, Management) - Использование портала авторизации, идентификации устройств по IP-
и MAC-адресам

  • Astra Linux Special Edition РУСБ.10015-01 - Аутентификация осуществляется локально или централизованно с помощью организации единого пространства пользователей, в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации. Многофакторная аутентификация обеспечивается совместным применением средств идентификации и аутентификации Astra Linux Special Edition, средств доверенной загрузки и устройств аутентификации (например, USB-токенов).
  • UserGate - Наличие функциональной возможности, позволяющей осуществлять идентификацию и аутентификация пользователей при доступе к сетевым ресурсам.

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — ИАФ.1 Идентификация и аутентификация пользователей, являющихся работниками оператора

  • Приказ 21 — ИАФ.1 Идентификация и аутентификация пользователей, являющихся работниками оператора

  • Приказ 31 — ИАФ.1 Идентификация и аутентификация пользователей и инициируемых ими процессов

Наверх

Обратно к I. Идентификация и аутентификация (ИАФ)

ИАФ.2 Идентификация и аутентификация устройств

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Встроенные механизмы обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: СЗИ от НСД, система мониторинга, межсетевой экран

Возможности некоторых продуктов:

  • CL DATAPK - Идентификация устройств подключенных к сети:
    1. Обнаружение объектов защиты в режиме пассивного мониторинга трафика. Автоматическое назначение уникальных идентификаторов объектам защиты, определение сетевых параметров, полученных в режиме пассивного мониторинга – MAC-адреса и IP-адреса (при наличии). Автоматическое назначение новым объектам защиты наименования «Неизвестный объект защиты».
    2. Указание дополнительных идентификаторов для объектов защиты пользователем: наименования, типа объекта защиты. Возможность указания принадлежности к группам и присвоение меток. Идентификация устройств подключенных к объектам защиты включает в себя периодическое (заданное по расписанию) получение с объекта защиты информации о подключенных к нему устройствах и их уникальных идентификаторов с использованием активного сбора данных.
  • Secret Net Studio 8.5 - Идентификация компьютеров, съемных машинных носителей информации
  • Secret Net Studio - C 8.5 - Идентификация компьютеров, съемных машинных носителей информации

  • Secret Net LSP 1.9 - Идентификация съемных машинных носителей информации, компьютеров в совместном режиме с SNS

  • АПКШ Континент 3.7 - Криптографические метки: ID КШ, наличие ключа
  • Континент-АП + Сервер доступа 3.7 - Континент-АП аутентифицируется на конкретном устройсте - сервере доступа (использование сертификата СД).
  • vGate 4.0 - Аутентификация ESXi, vCenter, Hyper-V внешних серверов и АРМов

  • InfoWatch Endpoint Security - Ограничение возможности использования устройств

  • InfoWatch ARMA (Firewall, Endpoint, Management) - В случае использования портала авторизации для внешних
по отношению к АСУ пользователей возможно управление идентификаторами

  • Astra Linux Special Edition РУСБ.10015-01 - Идентификация устройств осуществляется по логическим именам, по комбинации имени, логического, физического адресов, по информации об устройстве локально или централизованно с использованием сетевого протокола сквозной доверенной аутентификации
  • UserGate - Наличие функциональной возможности, позволяющей осуществлять идентификацию устройств при сетевом взаимодействии по IP адресу, а также аутентификацию удаленных устройств при использовании Remote access VPN.

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — ИАФ.2 Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных

  • Приказ 21 — ИАФ.2 Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных

  • Приказ 31 — ИАФ.2 Идентификация и аутентификация устройств

Наверх

Обратно к I. Идентификация и аутентификация (ИАФ)

ИАФ.3 Управление идентификаторами

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Встроенные механизмы обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п. — управление идентификаторами пользователей или служебными идентификаторами субъектов доступа (процессов, устройств).
  • возможные: СЗИ от НСД, системы управления учётными данными и доступом (IAM), межсетевые экраны (МЭ, FW)

Возможности некоторых продуктов:

  • CL DATAPK - DATAPK позволяет создавать, присваивать, изменять или уничтожать идентификаторы рабочих мест, серверов, программируемых логических контроллеров и другим узлам сети АСУ ТП, обнаруженным в ходе инвентаризации.
  • Secret Net Studio 8.5 - Управление учетными записями, присвоение аппаратных средств аутентификации
  • Secret Net Studio - C 8.5 - Управление учетными записями, присвоение аппаратных средств аутентификации
  • Secret Net LSP 1.9 - Управление учетными записями, присвоение аппаратных средств аутентификации
  • ПАК “Соболь” 3.0.9 (M2) - Администратор управляет идентификаторами. Реализовано присвоение идентификатора пользователю, удаление идентификатора у пользователя, форматирование идентификаторов.
  • Соболь 4.2 - Администратор управляет идентификаторами. Реализовано присвоение идентификатора пользователю, удаление идентификатора у пользователя, форматирование идентификаторов.
  • АПКШ Континент 3.7 - ЦУС - управление КШ (создание КШ, удаление КШ, присвоение ID)
  • Континент-АП + Сервер доступа 3.7 - Управление учетными записями на СД. Идентификатор-имя учетной записи.

  • vGate 4.0 - Управление пользователями и электронными идентификаторами (eToken PRO, eToken PRO Java (USB, смарт-карта), JaCarta).

  • Astra Linux Special Edition РУСБ.10015-01 - Управление идентификаторами пользователей (присвоение и блокирование идентификаторов, а также ограничение срока действия идентификаторов (учетных записей) осуществляется администратором локально или централизованно с помощью инструментов управления политикой безопасности
  • UserGate - Наличие функциональной возможности, позволяющей создавать учетные записи для пользователей и присвоения им идентификаторов.

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — ИАФ.3 Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов

  • Приказ 21 — ИАФ.3 Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов

  • Приказ 31 — ИАФ.3 Управление идентификаторами

Наверх

Обратно к I. Идентификация и аутентификация (ИАФ)

ИАФ.4 Управление средствами аутентификации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Управление средствами аутентификации осуществляется с помощью встроенных механизмов обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: Службы каталога, системы управления жизненным циклом сертификатов открытого ключа, СЗИ от НСД

Возможности некоторых продуктов:

  • CL DATAPK - Реализовано в части доступа к DATAPK.
  • Secret Net Studio 8.5 - Управление паролями, назначение аппаратных средств аутентификации. Интеграция с JaCarta Management System. Есть утилита генерации случайных паролей - с использованием ДСЧ ПАК “Соболь”
  • Secret Net Studio - C 8.5 - Управление паролями, назначение аппаратных средств аутентификации. Интеграция с JaCarta Management System. Есть утилита генерации случайных паролей - с использованием ДСЧ ПАК “Соболь”
  • Secret Net LSP 1.9 - Управление паролями, назначение аппаратных средств аутентификации. Есть утилита генерации случайных паролей - с использованием ДСЧ ПАК “Соболь”
  • ПАК “Соболь” 3.0.9 (M2) - 1) Кроме идентификатора при аутентификации в Соболе используется специальный ключ (аутентификатор) и пароль. 2) Реализован генератор пароля при регистрации и смене пароля Администратора/пользователя. 3) Реализована проверка стойкости пароля 4) Есть возможность смены ключа и пароля. Реализован режим их устаревания.
  • Соболь 4.2 - 1) Кроме идентификатора при аутентификации в Соболе используется специальный ключ (аутентификатор) и пароль. 2) Реализован генератор пароля при регистрации и смене пароля Администратора/пользователя. 3) Реализована проверка стойкости пароля 4) Есть возможность смены ключа и пароля. Реализован режим их устаревания.
  • АПКШ Континент 3.7 - АРМ ГК-работа с носителями и ключами ЦУС- криптографическая аутентификация КШ
  • Континент-АП + Сервер доступа 3.7 - Работа с ключами, сертификат и закрытый ключ отзыв сертификата.

  • vGate 4.0 - В рамках поддержки электронных идентификаторов.

  • InfoWatch Traffic Monitor - Поддержка протоколов LDAP/OpenLDAP
  • InfoWatch ARMA (Firewall, Endpoint, Management) - Может применятся
  • Astra Linux Special Edition РУСБ.10015-01 - Управление средствами аутентификации осуществляется администратором, для защиты аутентификационной информации в Astra Linux Special Edition по умолчанию используются отечественные алгоритмы по ГОСТ 28147-89 и ГОСТ Р 34.11-2012
  • UserGate - Наличие функциональной возможности, позволяющей устанавливать пароль для учетных записей пользователей.

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — ИАФ.4 Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации

  • Приказ 21 — ИАФ.4 Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации

  • Приказ 31 — ИАФ.4 Управление средствами аутентификации

Наверх

Обратно к I. Идентификация и аутентификация (ИАФ)

ИАФ.5 Идентификация и аутентификация внешних пользователей

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: Системы управления учётными данными и доступом (IAM), системы контроля действий привилегированных пользователей

Возможности некоторых продуктов:

  • CL DATAPK - В случае, если реализация требования зависит от настроек системного или прикладного программного обеспечения, DATAPK может использоваться для автоматизации контроля его выполнения, также реализовано в части доступа к DATAPK

  • Astra Linux Special Edition РУСБ.10015-01 - Аутентификация осуществляется локально или с помощью организации единого пространства пользователей
  • UserGate - Наличие функциональной возможности, позволяющей осуществлять идентификацию и аутентификация пользователей при доступе к сетевым ресурсам в том числе посредством VPN соединения.

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — ИАФ.6 Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)

  • Приказ 21 — ИАФ.6 Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)

  • Приказ 31 — ИАФ.5 Идентификация и аутентификация внешних пользователей

Наверх

Обратно к I. Идентификация и аутентификация (ИАФ)

ИАФ.6 Двусторонняя аутентификация

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Встроенные механизмы обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: Системы управления учётными данными и доступом (IAM)

Возможности некоторых продуктов:

  • CL DATAPK - В случае, если реализация требования зависит от настроек системного или прикладного программного обеспечения, DATAPK может использоваться для автоматизации контроля его выполнения, также реализовано в части доступа к DATAPK
  • Secret Net Studio 8.5 - Межсетевой экран, авторизация соединений

  • Secret Net Studio - C 8.5 - Межсетевой экран, авторизация соединений

  • АПКШ Континент 3.7 - Межсетевой экран, авторизация соединений
  • Континент-АП + Сервер доступа 3.7 - Межсетевой экран, авторизация соединений
  • vGate 4.0 - Двусторонняя аутентификация клиентов и СА

  • InfoWatch Endpoint Security - Шифрование

  • InfoWatch ARMA (Firewall, Endpoint, Management) - Может применятся
  • Astra Linux Special Edition РУСБ.10015-01 - Двусторонняя аутентификация осуществляется с использованием сетевого протокола сквозной доверенной аутентификации

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ИАФ.6 Двусторонняя аутентификация

Наверх

Обратно к I. Идентификация и аутентификация (ИАФ)

ИАФ.7 Защита аутентификационной информации при передаче

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: Системы управления учётными данными и доступом (IAM)

Возможности некоторых продуктов:

  • CL DATAPK - В случае, если реализация требования зависит от настроек системного или прикладного программного обеспечения, DATAPK может использоваться для автоматизации контроля его выполнения, также реализовано в части доступа к DATAPK.
  • Secret Net Studio 8.5 - Сокрытие вводимой парольной информации и информации для доступа к памяти ЭИ. Защита от перехвата пароля при сетевых обращениях
  • Secret Net Studio - C 8.5 - Сокрытие вводимой парольной информации и информации для доступа к памяти ЭИ. Защита от перехвата пароля при сетевых обращениях
  • Secret Net LSP 1.9 - Сокрытие вводимой парольной информации и информации для доступа к памяти ЭИ.
  • ПАК “Соболь” 3.0.9 (M2) - Сокрытие вводимой парольной информации. Полный контроль над USB-интерфейсом (для USB-идентификаторов) и выделенный канал передачи данных для iButton
  • Соболь 4.2 - Сокрытие вводимой парольной информации. Полный контроль над USB-интерфейсом (для USB-идентификаторов) и выделенный канал передачи данных для iButton
  • АПКШ Континент 3.7 - Шифрованный канал
  • Континент-АП + Сервер доступа 3.7 - Шифрованный канал Сокрытие вводимой парольной информации.

  • vGate 4.0 - Сокрытие вводимой парольной информации, защита от перехвата вводимого пароля, кодированный канал при сетевой аутентификации

  • Astra Linux Special Edition РУСБ.10015-01 - Защита аутентификационной информации осуществляется с использованием отечественных алгоритмов по ГОСТ 28147-89 и ГОСТ Р 34.11-2012
  • UserGate - Наличие функциональной возможности, позволяющей создавать VPN-подключения одного из следующих типов: Remote access VPN, Site-to-Site VPN.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ИАФ.7 Защита аутентификационной информации при передаче

Наверх

Обратно к I. Идентификация и аутентификация (ИАФ)

II. Управление доступом (УПД)

Наверх

УПД.0 Регламентация правил и процедур управления доступом

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Процедурное

Способ реализации: Организационные мероприятия -  разработка правил и процедур (политик) управления доступом. Реализуется путём выполнения положений внутренних документов.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — УПД.0 Разработка политики управления доступом

Наверх

Обратно к II. Управление доступом (УПД)

УПД.1 Управление учетными записями пользователей

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: СЗИ от НСД, системы контроля действий привилегированных пользователей

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Управление учетными записями в программе управления пользователями SNS
  • Secret Net Studio - C 8.5 - Управление учетными записями в программе управления пользователями SNS
  • Secret Net LSP 1.9 - Управление пользователями: добавление/удаление пользователей; изменение атрибутов пользователей; добавление/удаление группы пользователей; изменение атрибутов групп; включение/исключение пользователей из группы; задание/изменение паролей и атрибутов паролей пользователей; изменение настроек по умолчанию для паролей новых пользователей; блокировка и разблокировка учетных записей пользователей.
  • ПАК “Соболь” 3.0.9 (M2) - 1) Управление учетными записями ПАК “Соболь” (Администратор, пользователи, AUTOLOAD) - создание, удаление, управление параметрами, блокировка, активация 2) При совместной работе с Secret Net в Соболь могут синхронизироваться пользователи из Windows и домена.
  • Соболь 4.2 - 1) Управление учетными записями ПАК “Соболь” (Администратор, пользователи, AUTOLOAD) - создание, удаление, управление параметрами, блокировка, активация 2) При совместной работе с Secret Net в Соболь могут синхронизироваться пользователи из Windows и домена.
  • АПКШ Континент 3.7 - Управление учетными записями пользователей и групп пользователей на ЦУС.
  • Континент-АП + Сервер доступа 3.7 - В 3.7 появились роли в АП: администратор, пользователь. Работа с учетными записями в ПУ СД.

  • vGate 4.0 - Управление пользователями, создание, удаление, изменение привелегий, блокирование

  • Astra Linux Special Edition РУСБ.10015-01 - Управление учетными записями пользователей (заведение, активация, блокирование и уничтожение) осуществляется администратором локально или централизованно с помощью инструментов управления политикой безопасности
  • UserGate - Наличие функциональной возможности, позволяющей создавать учетные записи пользователям для их взаимодействия с сетевыми ресурсам.

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — УПД.1 Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей

  • Приказ 21 — УПД.1 Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в   том числе внешних пользователей

  • Приказ 31 — УПД.1 Управление учетными записями пользователей

Наверх

Обратно к II. Управление доступом (УПД)

УПД.2 Реализация модели управления доступом

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: СЗИ от НСД, системы контроля действий привилегированных пользователей. Рекомендуется конкретизировать требования по методам разграничения доступа для разработчика АСУ ТП, так как это накладывает дополнительные требования на используемое базовое ПО (SCADA) и на сам код проекта. На практике востребована только ролевая модель управления доступом, с разграничением доступа на уровне функций АСУ ТП.

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Дискреционный метод разграничения доступа к объектам ФС, устройствам компьютера (usb, физические диски, принтеры, сетевые интерфейсы). Мандатный метод разграничения доступа к объектам ФС, устройствам (usb, диски, принтеры, сетевые интерфейсы)
  • Secret Net Studio - C 8.5 - Дискреционный метод разграничения доступа к объектам ФС, устройствам компьютера (usb, физические диски, принтеры, сетевые интерфейсы). Мандатный метод разграничения доступа к объектам ФС, устройствам (usb, диски, принтеры, сетевые интерфейсы)
  • Secret Net LSP 1.9 - Дискреционный метод разграничения доступа к объектам ФС, к шинам USB, SATA, IEEE 1394 и подключаемым к ним устройствам
  • ПАК “Соболь” 3.0.9 (M2) - Разграничение полномочий администратора/оператора ПАК “Соболь”. Доступ к информации никак не разграничивается.
  • Соболь 4.2 - Разграничение полномочий администратора/оператора ПАК “Соболь”. Доступ к информации никак не разграничивается.
  • АПКШ Континент 3.7 - Предоставление доступа к сетевым ресурсам для групп пользователей.
  • Континент-АП + Сервер доступа 3.7 - В 3.7 - ролевой метод для КС3.

  • vGate 4.0 - Мандатные правила доступа (иерархческие и неиерархические) в отношении объектов ВИ. Дискреционное разграничение досутпа к серверам виртуализации и серверам управления виртуализацией

  • InfoWatch ARMA (Firewall, Endpoint, Management) - Портал авторизации позволяет настраивать параметры доступа пользователей к ресурсам
  • Astra Linux Special Edition РУСБ.10015-01 - Монитор обращений из состава Astra Linux Special Edition предусматривает дискреционное, мандатное и ролевое управление доступом, а также реализацию мандатного контроля целостности. Решение о запрете или разрешении доступа субъекта к объекту принимается на основе типа операции (чтение, запись, исполнение), мандатного контекста безопасности пользователя и классификационной метки объекта. Управление доступом осуществляется применительно ко всем объектам, включая объекты файловой системы, базы данных, процессам и устройствам.
  • UserGate - Наличие функциональной возможности, позволяющей реализовать разграничение доступа к сетевым ресурсам по группе пользователей или заданным пользователям.

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — УПД.2 Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа

  • Приказ 21 — УПД.2 Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа

  • Приказ 31 — УПД.2 Реализация политик управления доступа

Наверх

Обратно к II. Управление доступом (УПД)

УПД.3 Доверенная загрузка

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + +  

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Требование реализуется вешними средствами защиты информации.
  • возможные: Требование может быть реализовано с применением средств доверенной загрузки (СДЗ) для автоматизированных рабочих мест/серверов и специализированным средствами для доверенной загрузки компонентов среды виртуализации.

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Интеграция с ПАК “Соболь”, ЦУ ПАК “Соболь”. Компенсирующая мера - модуль Защита диска
  • Secret Net Studio - C 8.5 - Интеграция с ПАК “Соболь”, ЦУ ПАК “Соболь”. Компенсирующая мера - модуль Защита диска
  • Secret Net LSP 1.9 - Интеграция с ПАК “Соболь”
  • ПАК “Соболь” 3.0.9 (M2) - Доверенная загрузка до загрузки ОС. Без аутентификации пользователя с предъявлением идентификатора доступ к ресурсам СВТ не предоставляется. Механизм сторожевого таймера + ДСЧ.
  • Соболь 4.2 - Доверенная загрузка до загрузки ОС. Без аутентификации пользователя с предъявлением идентификатора доступ к ресурсам СВТ не предоставляется. Механизм сторожевого таймера + ДСЧ.
  • АПКШ Континент 3.7 - Встроенный ПАК “Соболь”
  • Континент-АП + Сервер доступа 3.7 - Встроенный ПАК “Соболь”
  • vGate 4.0 - Доверенная загрузка ВМ
  • InfoWatch Endpoint Security - В будущем

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — УПД.17 Обеспечение доверенной загрузки средств вычислительной техники

  • Приказ 21 — УПД.17 Обеспечение доверенной загрузки средств вычислительной техники

  • Приказ 31 — УПД.3 Доверенная загрузка

Наверх

Обратно к II. Управление доступом (УПД)

УПД.4 Разделение полномочий (ролей) пользователей

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: СЗИ от НСД, системы контроля действий привилегированных пользователей.

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Права доступа/группы пользователей, администраторов, защита от локального администратора
  • Secret Net Studio - C 8.5 - Права доступа/группы пользователей, администраторов, защита от локального администратора
  • Secret Net LSP 1.9 - Права доступа/группы пользователей, администраторов
  • ПАК “Соболь” 3.0.9 (M2) - Обязанности администратора и пользователя ПАК “Соболь”. Пользователи по категориям не разделяются. Для определенных пользователей можно задавать возможность загрузки с нештатных носителей и мягкую реакцию на нарушения при контроле целостности.
  • Соболь 4.2 - Обязанности администратора и пользователя ПАК “Соболь”. Пользователи по категориям не разделяются. Для определенных пользователей можно задавать возможность загрузки с нештатных носителей и мягкую реакцию на нарушения при контроле целостности.
  • АПКШ Континент 3.7 - Роли учетных записей, ПУ ЦУС
  • Континент-АП + Сервер доступа 3.7 - В 3.7 появились роли в АП: администратор, пользователь.
  • vGate 4.0 - Выделенные роли АБИ и АВИ, которые в свою очередь имеют дополнительное разделение на роли

  • InfoWatch Endpoint Security - Разграничение прав доступа пользователей к файлам

  • InfoWatch Traffic Monitor - Разграничение прав доступа пользователей к файлам (модуль Device Monitor)

  • Astra Linux Special Edition РУСБ.10015-01 - Разделение полномочий (ролей) пользователей осуществляется администратором с помощью инструментов управления политикой безопасности в соответствии с организационно-распорядительной документацией оператора
  • UserGate - Наличие функциональной возможности, позволяющей создавать учетные записи для администрирования UserGate c набором разных полномочий.

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — УПД.4 Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы

  • Приказ 21 — УПД.4 Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы

  • Приказ 31 — УПД.4 Разделение полномочий (ролей) пользователей

Наверх

Обратно к II. Управление доступом (УПД)

УПД.5 Назначение минимально необходимых прав и привилегий

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Процедурное

Способы реализации:

  • рекомендуемые: Организационные меры.
  • возможные: Как правило, информацией, необходимой для разработки матрицы доступа, обладает проектировщик АСУ ТП, как следствие наиболее простой способ реализации требования – обязывать проектировщика разрабатывать матрицу доступа в составе проектной документации на АСУ ТП.

Возможности некоторых продуктов:

  • InfoWatch Endpoint Security - Разграничение уровня доступа

  • InfoWatch Traffic Monitor - Разграничение уровня доступа (модуль Device Monitor)

  • Astra Linux Special Edition РУСБ.10015-01 - Назначение минимально необходимых прав и привилегий, разделение полномочий (ролей) пользователей осуществляется администратором с помощью инструментов управления политикой безопасности в соответствии с организационно-распорядительной документацией оператора

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы

  • Приказ 21 — УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы

  • Приказ 31 — УПД.5 Назначение минимально необходимых прав и привилегий

Наверх

Обратно к II. Управление доступом (УПД)

УПД.6 Ограничение неуспешных попыток доступа в информационную (автоматизированную) систему

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: СЗИ от НСД, системы контроля действий привилегированных пользователей. Как правило, подобное требование реализуется ограниченно (только для административных интерфейсов), так как ограничения доступа в оперативном режиме могут создать риски для нормального протекания технологического процесса.

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Задается количество неудачных попыток аутентификации, после чего компьютер будет блокирован
  • Secret Net Studio - C 8.5 - Задается количество неудачных попыток аутентификации, после чего компьютер будет блокирован
  • Secret Net LSP 1.9 - Ограничение количества неудачных попыток аутентификации - блокировка учетной записи
  • ПАК “Соболь” 3.0.9 (M2) - Блокировка при достижении максимально возможного значения попыток входа
  • Соболь 4.2 - Блокировка при достижении максимально возможного значения попыток входа
  • АПКШ Континент 3.7 - Средствами ПАК “Соболь”
  • Континент-АП + Сервер доступа 3.7 - Средствами ПАК “Соболь” Средствами КриптоПро

  • vGate 4.0 - Возможность задания количества неуспешных попыток входа, после чего учетная запись блокируется

  • Astra Linux Special Edition РУСБ.10015-01 - Ограничение количества неуспешных попыток входа и блокирования учетной записи и сеанса доступа пользователя при превышении числа неуспешных попыток аутентификации устанавливается администратором с помощью инструментов управления политикой безопасности
  • UserGate - Наличие функциональной возможности, позволяющей ограничить доступ пользователя к сетевым ресурсам по достижению заданного количества неудачных попыток авторизации.

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — УПД.6 Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе)

  • Приказ 21 — УПД.6 Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе)

  • Приказ 31 — УПД.6 Ограничение неуспешных попыток доступа в информационную (автоматизированную) систему

Наверх

Обратно к II. Управление доступом (УПД)

УПД.7 Предупреждение пользователя при его доступе к информационным ресурсам

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Тип требования: Функциональное

Способ реализации: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Предупреждение пользователя о мерах защиты информации до входа в систему
  • Secret Net Studio - C 8.5 - Предупреждение пользователя о мерах защиты информации до входа в систему
  • Secret Net LSP 1.9 - экран идентификации + заставка
  • ПАК “Соболь” 3.0.9 (M2) - Есть заставка Соболь + экран идентификации
  • Соболь 4.2 - Есть заставка Соболь + экран идентификации

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — УПД.7 Предупреждение пользователя при его входе в информационную систему о том, что в информационной системе реализованы меры защиты информации, и о необходимости соблюдения им установленных оператором правил обработки информации

  • Приказ 21 — УПД.7 Предупреждение пользователя при его входе в информационную систему о том, что в информационной системе реализованы меры по обеспечению безопасности персональных данных, и о необходимости соблюдения установленных оператором правил обработки персональных данных

  • Приказ 31 — УПД.7 Предупреждение пользователя при его доступе к информационным ресурсам

Наверх

Обратно к II. Управление доступом (УПД)

УПД.8 Оповещение пользователя при успешном входе о предыдущем доступе к информационной (автоматизированной) системе

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Тип требования: Функциональное

Способ реализации: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Политика “Оповещение пользователя о последнем успешном входе в систему”

  • Secret Net Studio - C 8.5 - Политика “Оповещение пользователя о последнем успешном входе в систему”

  • ПАК “Соболь” 3.0.9 (M2) - Время(часы:минуты) и дата(день/месяц/год) тех моментов времени, когда был выполнен ваш вход в систему в текущеми в предыдущем сеансе работы на компьютере соответственно. Время и дата фиксируются в моментнажатия при вводе пароля

  • Соболь 4.2 - Время(часы:минуты) и дата(день/месяц/год) тех моментов времени, когда был выполнен ваш вход в систему в текущеми в предыдущем сеансе работы на компьютере соответственно. Время и дата фиксируются в моментнажатия при вводе пароля

  • Astra Linux Special Edition РУСБ.10015-01 - Сведения о предыдущей аутентификации, количестве успешных и неуспешных попыток входа предоставляются пользователю (в соответствии с его правилами разграничения доступа) и администратору с использованием средств протоколирования

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — УПД.8 Оповещение пользователя после успешного входа в информационную систему о его предыдущем входе в информационную систему

  • Приказ 21 — УПД.8 Оповещение пользователя после успешного входа в информационную систему о его предыдущем входе в информационную систему

  • Приказ 31 — УПД.8 Оповещение пользователя при успешном входе предыдущем доступе к информационной (автоматизированной) системе

Наверх

Обратно к II. Управление доступом (УПД)

УПД.9 Ограничение числа параллельных сеансов доступа

Категория значимости 1 2 3
Наличие требования в Базовом набор мер +    

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: Требование может быть реализованы с помощью Служба каталогов (LDAP, Microsoft AD).

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Возможность аппаратной аутентификации и блокировки сессии при изъятии средства аутентификации
  • Secret Net Studio - C 8.5 - Возможность аппаратной аутентификации и блокировки сессии при изъятии средства аутентификации

  • Secret Net LSP 1.9 - Возможность аппаратной аутентификации и блокировки сессии при изъятии средства аутентификации (Политика “Блокировать экран при изятии токена”)

  • АПКШ Континент 3.7 - Жесткое ограничение: 1 пользователь - 1 КШ - 1 соединение.

  • Континент-АП + Сервер доступа 3.7 - настройка “разрешить множественные подключения” на СД

  • InfoWatch ARMA (Firewall, Endpoint, Management) - Портал авторизации позволяет установить ограничение на параллельные сеансы доступа
  • Astra Linux Special Edition РУСБ.10015-01 - Ограничение числа параллельных сеансов для каждого пользователя (или группы) и мониторинга осуществляется администратором с помощью инструментов управления политикой безопасности и встроенных программных решений организации распределенного мониторинга
  • UserGate - Наличие функциональной возможности, позволяющей ограничить максимальное количество устройств, с которых пользователь одновременно может получать доступ в сетевые ресурсы.

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — УПД.9 Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы

  • Приказ 21 — УПД.9 Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы

  • Приказ 31 — УПД.9 Ограничение числа параллельных сеансов доступа

Наверх

Обратно к II. Управление доступом (УПД)

УПД.10 Блокирование сеанса доступа пользователя при неактивности

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: СЗИ от НСД, системы контроля действий привилегированных пользователей.

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Возможность блокировки сессии пользователя по периоду неактивности

  • Secret Net Studio - C 8.5 - Возможность блокировки сессии пользователя по периоду неактивности

  • ПАК “Соболь” 3.0.9 (M2) - Если в течение заданного интервала времени не прислонил электронный идентификатор - ИС блокируется до перезагрузки

  • Соболь 4.2 - Если в течение заданного интервала времени не прислонил электронный идентификатор - ИС блокируется до перезагрузки

  • Континент-АП + Сервер доступа 3.7 - alive-ы, разрыв связи по истечении времени неактивности

  • vGate 4.0 - Только для доступа к ESXi, ограничение времени неактивности пользователя

  • InfoWatch ARMA (Firewall, Endpoint, Management) - +
  • Astra Linux Special Edition РУСБ.10015-01 - Блокирование сеанса доступа пользователя по истечении заданного администратором интервала времени бездействия осуществляется автоматически или по запросу
  • UserGate - Наличие функциональной возможности, позволяющей блокировать доступ пользователя к сетевым ресурсам по достижению установленного времени неактивности пользователя (отсутствию сетевого взаимодействия).

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — УПД.10 Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу

  • Приказ 21 — УПД.10 Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу

  • Приказ 31 — УПД.10 Блокирование сеанса доступа пользователя при неактивности

Наверх

Обратно к II. Управление доступом (УПД)

УПД.11 Управление действиями пользователей до идентификации и аутентификации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: СЗИ от НСД

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Без входа в систему (идентификации и аутентификации) все действия недоступны
  • Secret Net Studio - C 8.5 - Без входа в систему (идентификации и аутентификации) все действия недоступны
  • Secret Net LSP 1.9 - Без входа в систему (идентификации и аутентификации) все действия недоступны
  • ПАК “Соболь” 3.0.9 (M2) - Без идентификации не осуществляется загрузка, пользователь ничего не может делать. Ограничение числа попыток входа.

  • Соболь 4.2 - Без идентификации не осуществляется загрузка, пользователь ничего не может делать. Ограничение числа попыток входа.

  • Континент-АП + Сервер доступа 3.7 - Режиме ожидания МСЭ на АП. Правила фильтрации до авторизации - правила сетевой фильтрации, разрешают минимальное кол-во технических соединений, обеспечивающих работу компьютера в сети.

  • vGate 4.0 - До прохождения процедуры идентификации и аутентификации любые действия запрещены

  • InfoWatch ARMA (Firewall, Endpoint, Management) - +
  • Astra Linux Special Edition РУСБ.10015-01 - Решение о запрете или разрешении доступа субъекта к объекту принимается на основе типа операции (чтение, запись, исполнение), мандатного контекста безопасности пользователя и классификационной метки объекта. Управление доступом осуществляется применительно ко всем объектам, включая объекты файловой системы, базы данных, процессам и устройствам.
  • UserGate - Наличие функциональной возможности, позволяющей создавать отдельные политики доступа к сетевым ресурсам для пользователей не прошедших процедуру идентификации и аутентификации на устройстве UserGate.

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — УПД.11 Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации

  • Приказ 21 — УПД.11 Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации

  • Приказ 31 — УПД.11 Управление действиями пользователей до идентификации и аутентификации

Наверх

Обратно к II. Управление доступом (УПД)

УПД.12 Управление атрибутами безопасности

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: Требование может быть реализованы с помощью Служба каталогов (LDAP, Microsoft AD).

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Управление атрибутами в рамках настройки дискреционного и мандатного доступа. Атрибуты сохраняются в процессе обработки информации
  • Secret Net Studio - C 8.5 - Управление атрибутами в рамках настройки дискреционного и мандатного доступа. Атрибуты сохраняются в процессе обработки информации

  • Secret Net LSP 1.9 - Управление атрибутами в рамках настройки дискреционного доступа. Атрибуты сохраняются в процессе обработки информации

  • vGate 4.0 - Назначение меток на объекты ВИ и контроль операций с ними

  • InfoWatch Endpoint Security - Шифрование

  • Astra Linux Special Edition РУСБ.10015-01 - В Astra Linux Special Edition реализовано мандатное управление доступом к информации в процессе ее хранения и обработки с учетом атрибутов безопасности (классификационных меток в формате, установленном ГОСТ Р 58256)

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — УПД.12 Поддержка и сохранение атрибутов безопасности (меток безопасности), связанных с информацией в процессе ее хранения и обработки

  • Приказ 21 — УПД.12 Поддержка и сохранение атрибутов безопасности (меток безопасности),  связанных  с информацией в процессе ее хранения и обработки

  • Приказ 31 — УПД.12 Управление атрибутами безопасности

Наверх

Обратно к II. Управление доступом (УПД)

УПД.13 Реализация защищенного удаленного доступа

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Требование реализуется средствами защиты информации для организации удалённого доступа.
  • возможные: Требование может быть реализовано с применением технологий организации виртуальных рабочих мест (VDI, терминальный доступ). Требование может быть реализовано в рамках договоров на оказание услуг по организации и предоставлению каналов передачи данных.

Возможности некоторых продуктов:

  • АПКШ Континент 3.7 - Основной функционал

  • Континент-АП + Сервер доступа 3.7 - Основной функционал

  • UserGate - Наличие функциональной возможности, позволяющей создавать VPN-подключения одного из следующих типов: Remote access VPN, Site-to-Site VPN.

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — УПД.13 Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети

  • Приказ 21 — УПД.13 Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети

  • Приказ 31 — УПД.13 Реализация защищенного удаленного доступа

Наверх

Обратно к II. Управление доступом (УПД)

УПД.14 Контроль доступа из внешних информационных (автоматизированных) систем

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Требование реализуется средствами защиты информации для контроля доступа.
  • возможные: Требование может быть реализовано с применением систем контроля действий привилегированных учетных записей - PAM (Privileged Account/Access Management). Требование может быть реализовано с путём ограничения использования беспроводного доступа и мобильных технических средств.

Возможности некоторых продуктов:

  • CL DATAPK - Выявление и контроль (проверка/учет) информационных потоков по сетевым реквизитам источников и получателей, а также протоколу и данным пакетов. Осуществляется контроль информационных потоков, для которых источник или получатель находится за пределами защищаемой АСУ ТП.

  • ПАК “Соболь” 3.0.9 (M2) - В Соболе есть автономный и сетевой режим работы. Взаимодействие с внешними ИС возможно только в сетевом режиме.

  • InfoWatch ARMA (Firewall, Endpoint, Management) - +

  • UserGate - Наличие функциональной возможности, позволяющей осуществлять фильтрацию сетевого трафика на уровне L3-L7.

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — УПД.16 Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы)

  • Приказ 21 — УПД.16 Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы)

  • Приказ 31 — УПД.14 Контроль доступа из внешних информационных (автоматизированных) систем

Наверх

Обратно к II. Управление доступом (УПД)

III. Ограничение программной среды (ОПС)

Наверх

ОПС.0 Регламентация правил и процедур ограничения программной среды

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + +  

Тип требования: Процедурное

Способ реализации: Организационные меры.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ОПС.0 Разработка политики ограничения программной среды

Наверх

Обратно к III. Ограничение программной среды (ОПС)

ОПС.1 Управление запуском (обращениями) компонентов программного обеспечения

Категория значимости 1 2 3
Наличие требования в Базовом набор мер +    

Тип требования: Функциональное

Способ реализации: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.

Возможности некоторых продуктов:

  • CL DATAPK - Управление реализуется путем:
    • Идентификации запущенных компонентов программного обеспечения по имени, пути исполняемого файла, пользователю, запустившему процесс и другим атрибутам.
    • Периодического контроля перечня запущенных компонентов программного обеспечения с выявлением фактов их запуска и останова.
    • Определения легитимности факта запуска компонентов программного обеспечения путем сравнения перечня запущенных процессов с перечнем разрешенных процессов (эталонная конфигурация) и выявления отклонения от разрешенных значений.
    • Реагирования силами оператора / ответственного лица на факт выявления инцидента ИБ
  • Secret Net Studio 8.5 - Замкнутая программная среда. Дополнительный режим контроля запуска скриптов.
  • Secret Net Studio - C 8.5 - Замкнутая программная среда. Дополнительный режим контроля запуска скриптов.

  • Secret Net LSP 1.9 - Замкнутая программная среда, включая контроль запуска скриптов.

  • vGate 4.0 - Whitelist на серверах виртуализации

  • InfoWatch Endpoint Security - Контроль целостности и запуска ПО

  • InfoWatch Traffic Monitor - Контроль целостности и запуска ПО
  • InfoWatch ARMA (Firewall, Endpoint, Management) - Контроль целостности и запуска ПО
  • Astra Linux Special Edition РУСБ.10015-01 - Задача запуска в информационной системе разрешенного программного обеспечения реализуется средствами ограничения программной среды

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ОПС.1 Управление запуском (обращениями) компонентов программного обеспечения

Наверх

Обратно к III. Ограничение программной среды (ОПС)

ОПС.2 Управление установкой (инсталляцией) компонентов программного обеспечения

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + +  

Тип требования: Смешанное

Способы реализации:

  • рекомендуемые: Организационные меры, реализуется путем выполнения положений внутренних руководящих документов.
  • возможные: СЗИ от НСД, решения по контролю белых списков программного обеспечения/ограничения программной среды.

Возможности некоторых продуктов:

  • CL DATAPK - Управление реализуется путем:
    • Идентификации установленных компонентов программного обеспечения по имени, пути, версии и другим атрибутам.
    • Периодического контроля перечня установленных компонентов программного обеспечения с выявлением фактов их запуска и останова.
    • Определения легитимности факта наличия установленных компонентов программного обеспечения путем сравнения их перечня с перечнем разрешенных процессов (эталонная конфигурация) и выявления отклонения от разрешенных значений.
    • Реагирования силами оператора / ответственного лица на факт выявления инцидента ИБ
  • InfoWatch ARMA (Firewall, Endpoint, Management) - Контроль целостности и запуска ПО
  • Astra Linux Special Edition РУСБ.10015-01 - Задача управления установкой в информационную систему разрешенного программного обеспечения реализуется средствами регламентного контроля целостности устанавливаемого программного обеспечения в составе доверенного служебного репозитория с использованием хэш-функции или электронной цифровой подписи

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ОПС.2 Управление установкой (инсталляцией) компонентов программного обеспечения

Наверх

Обратно к III. Ограничение программной среды (ОПС)

ОПС.3 Управление временными файлами

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: Исключение хранения временных файлов и несанкционированных действий с ними, а также доступа пользователя к «остаточной» информации может быть реализовано с использованием механизмов очистки оперативной и внешней памяти и изоляции процессов в соответствии с установленными правилами разграничения доступа.

Возможности некоторых продуктов:

  • Astra Linux Special Edition РУСБ.10015-01 - Исключение хранения временных файлов и несанкционированных действий с ними, а также доступа пользователя к «остаточной» информации реализуется с использованием механизмов очистки оперативной и внешней памяти и изоляции процессов в соответствии с установленными правилами разграничения доступа

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ОПС.3 Управление временными файлами

Наверх

Обратно к III. Ограничение программной среды (ОПС)

IV. Защита машинных носителей информации (ЗНИ)

Наверх

ЗНИ.0 Регламентация правил и процедур защиты машинных носителей информации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Процедурное

Способ реализации: Организационные меры.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗНИ.0 Разработка политики защиты машинных носителей информации

Наверх

Обратно к IV. Защита машинных носителей информации (ЗНИ)

ЗНИ.1 Учет машинных носителей информации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Смешанное

Способы реализации:

  • рекомендуемые: Организационные меры, реализуемые путем выполнения положений внутренних руководящих документов.
  • возможные: Средства контроля съемных носителей информации. Средства инвентаризации машинных носителей информации.

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Контроль устройств+ орг меры
  • Secret Net Studio - C 8.5 - Контроль устройств+ орг меры

  • Secret Net LSP 1.9 - Контроль устройств+ орг меры

  • InfoWatch ARMA (Firewall, Endpoint, Management) - СЗИ от НСД — в части учёта машинных носителей, используемых в защищаемой АС
  • Astra Linux Special Edition РУСБ.10015-01 - Реализуется средствами Astra Linux Special Edition, обеспечивающими контроль использования интерфейсов ввода (вывода) средств вычислительной техники, типов подключаемых внешних программно-аппаратных устройств и конкретных съемных машинных носителей информации на основе установленных администратором правил разграничения доступа

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗНИ.1 Учет машинных носителей информации

Наверх

Обратно к IV. Защита машинных носителей информации (ЗНИ)

ЗНИ.2 Управление физическим доступом к машинным носителям информации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Смешанное

Способы реализации:

  • рекомендуемые: Организационные меры, реализуемые путем выполнения положений внутренних руководящих документов.
  • возможные: Реализуется путем выполнения положений внутренних руководящих документов.

Возможности некоторых продуктов:

  • InfoWatch Endpoint Security - Контроль использования внешних устройств и съёмных носителей

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗНИ.2 Управление физическим доступом к машинным носителям информации

Наверх

Обратно к IV. Защита машинных носителей информации (ЗНИ)

ЗНИ.3 Контроль перемещения машинных носителей информации за пределы контролируемой зоны

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Тип требования: Процедурное

Способы реализации:

  • рекомендуемые: Организационные меры, реализуемые путем выполнения положений внутренних руководящих документов.
  • возможные: Реализуется путем выполнения положений внутренних руководящих документов.

Возможности некоторых продуктов:

  • InfoWatch Endpoint Security - Контроль использования внешних устройств и съёмных носителей. Шифрование

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗНИ.3 Контроль перемещения машинных носителей информации за пределы контролируемой зоны

Наверх

Обратно к IV. Защита машинных носителей информации (ЗНИ)

ЗНИ.4 Исключение возможности несанкционированного чтения информации на машинных носителях информации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Тип требования: Функциональное

Способ реализации: Средства контроля съемных носителей информации. Физическое ограничение доступа к портам ввода-вывода.

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Преобразованные контейнеры на съемных носителях

  • Secret Net Studio - C 8.5 - Преобразованные контейнеры на съемных носителях

  • InfoWatch Endpoint Security - Шифрование

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗНИ.4 Исключение возможности несанкционированного чтения информации на машинных носителях информации

Наверх

Обратно к IV. Защита машинных носителей информации (ЗНИ)

ЗНИ.5 Контроль использования интерфейсов ввода (вывода) информации на съемные машинные носители информации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способ реализации: Средства контроля съемных носителей информации. Физическое ограничение доступа к портам ввода-вывода.

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Контроль последовательных и параллельных портов
  • Secret Net Studio - C 8.5 - Контроль последовательных и параллельных портов

  • Secret Net LSP 1.9 - контроль устройств

  • vGate 4.0 - Контроль устройств на ВМ, запрет подключения съемных носителей к серверам виртуализации

  • InfoWatch Endpoint Security - Контроль использования внешних устройств и съёмных носителей

  • InfoWatch Traffic Monitor - Контроль использования внешних устройств и съёмных носителей

  • Astra Linux Special Edition РУСБ.10015-01 - Реализуется средствами Astra Linux Special Edition, обеспечивающими контроль использования интерфейсов ввода (вывода) средств вычислительной техники, типов подключаемых внешних программно-аппаратных устройств и конкретных съемных машинных носителей информации на основе установленных администратором правил разграничения доступа

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗНИ.5 Контроль использования интерфейсов ввода (вывода) информации на машинные носители информации

Наверх

Обратно к IV. Защита машинных носителей информации (ЗНИ)

ЗНИ.6 Контроль ввода (вывода) информации на съемные машинные носители информации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер +    

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Средства контроля съемных носителей информации. Физическое ограничение доступа к портам ввода-вывода.
  • возможные: Хостовые DLP-системы

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Контроль устройств. Полномочное управление доступом
  • Secret Net Studio - C 8.5 - Контроль устройств. Полномочное управление доступом

  • Secret Net LSP 1.9 - контроль устройств

  • vGate 4.0 - Контроль устройств на ВМ, запрет подключения съемных носителей к серверам виртуализации

  • InfoWatch Endpoint Security - Контроль использования внешних устройств и съёмных носителей

  • InfoWatch Traffic Monitor - Контроль использования внешних устройств и съёмных носителей
  • InfoWatch ARMA (Firewall, Endpoint, Management) - +
  • Astra Linux Special Edition РУСБ.10015-01 - Реализуется средствами Astra Linux Special Edition, обеспечивающими контроль использования интерфейсов ввода (вывода) средств вычислительной техники, типов подключаемых внешних программно-аппаратных устройств и конкретных съемных машинных носителей информации на основе установленных администратором правил разграничения доступа

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗНИ.6 Контроль ввода (вывода) информации на машинные носители информации

Наверх

Обратно к IV. Защита машинных носителей информации (ЗНИ)

ЗНИ.7 Контроль подключения съемных машинных носителей информации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Смешанное

Способы реализации:

  • рекомендуемые: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: Средства контроля съемных носителей информации. Физическое ограничение доступа к портам ввода-вывода.

Возможности некоторых продуктов:

  • CL DATAPK - Периодический контроль подключенных устройств. Периодическое получение с объекта защиты информации о подключенных к нему устройствах с использованием активного сбора данных.
  • Secret Net Studio 8.5 - Контроль устройств
  • Secret Net Studio - C 8.5 - Контроль устройств

  • Secret Net LSP 1.9 - Контроль устройств

  • vGate 4.0 - Контроль устройств на ВМ, запрет подключения съемных носителей к серверам виртуализации

  • InfoWatch Endpoint Security - Контроль использования внешних устройств и съёмных носителей

  • InfoWatch ARMA (Firewall, Endpoint, Management) - Контроль использования внешних устройств и съёмных носителей
  • Astra Linux Special Edition РУСБ.10015-01 - Реализуется средствами Astra Linux Special Edition, обеспечивающими контроль использования интерфейсов ввода (вывода) средств вычислительной техники, типов подключаемых внешних программно-аппаратных устройств и конкретных съемных машинных носителей информации на основе установленных администратором правил разграничения доступа

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗНИ.7 Контроль подключения машинных носителей информации

Наверх

Обратно к IV. Защита машинных носителей информации (ЗНИ)

ЗНИ.8 Уничтожение (стирание) информации на машинных носителях информации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Смешанное

Способы реализации:

  • рекомендуемые: Организационные меры, реализуемые путем выполнения положений внутренних руководящих документов.
  • возможные: СЗИ от НСД с функцией уничтожения информации.

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Автоматическое затирание удаляемых данных с носителей. Полное затирание данных на носителей по команде администратора
  • Secret Net Studio - C 8.5 - Автоматическое затирание удаляемых данных с носителей. Полное затирание данных на носителей по команде администратора

  • Secret Net LSP 1.9 - Автоматическое затирание данных на локальных дисках и съемных машинных носителях информации, ручной запуск утилиты безопасного удаления с настройкой количества проходов перезаписи

  • InfoWatch Endpoint Security - (в будущем)

  • Astra Linux Special Edition РУСБ.10015-01 - Задача уничтожения (стирания) информации, исключения возможности восстановления защищаемой информации реализуется с помощью средств защиты памяти, настройки параметров использования машинных носителей

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗНИ.8 Уничтожение (стирание) информации на машинных носителях информации

Наверх

Обратно к IV. Защита машинных носителей информации (ЗНИ)

V. Аудит безопасности (АУД)

Наверх

АУД.0 Регламентация правил и процедур аудита безопасности

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Процедурное

Способ реализации: Организационные меры.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — АУД.0 Разработка политики аудита безопасности

Наверх

Обратно к V. Аудит безопасности (АУД)

АУД.1 Инвентаризация информационных ресурсов

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Смешанное

Способы реализации:

  • рекомендуемые: Организационные меры, реализуемые путем выполнения положений внутренних руководящих документов.
  • возможные: Средства мониторинга показателей функционирования компонентов информационных систем. Средства управления активами и объектами защиты.

Возможности некоторых продуктов:

  • CL DATAPK - Анализ сетевого трафика. Сбор конфигураций. Реализация указанной меры включает в себя:
    • Автоматическое назначение уникальных идентификаторов объектам защиты, определение сетевых параметров, полученных в режиме пассивного мониторинга – MAC-адреса и IP-адреса (при наличии).
    • Автоматическое назначение принадлежности объекта защиты к указанной в CL DATAPK домашней подсети.
    • Указание дополнительных идентификаторов для объектов защиты пользователем: наименования, типа объекта защиты. Возможность указания принадлежности к группам и присвоение меток.
    • Периодическое получение с объекта защиты конфигураций с использованием активного сбора данных и контроль за изменением получаемых конфигураций. Описание механизма активного сбора данных и контроль за изменением конфигурации ОЗ приведено в приложении А
  • Secret Net Studio 8.5 - Снимок состава программного обеспечения (Паспорт ПО)

  • Secret Net Studio - C 8.5 - Снимок состава программного обеспечения (Паспорт ПО)

  • InfoWatch Endpoint Security - Инвентаризация используемого ПО, оборудования, внешних носителей

  • InfoWatch ARMA (Firewall, Endpoint, Management) - +

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — АУД.1 Инвентаризация информационных ресурсов

Наверх

Обратно к V. Аудит безопасности (АУД)

АУД.2 Анализ уязвимостей и их устранение

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Смешанное

Способы реализации:

  • рекомендуемые: Организационные меры, реализуемые путем выполнения положений внутренних руководящих документов.
  • возможные: Средства анализа защищенности.

Возможности некоторых продуктов:

  • CL DATAPK - Анализ уязвимостей. Контроль соответствия требованиям ИБ. С целью осуществления оценки состояния объектов защиты в CL DATAPK реализована поддержка языка OVAL (Open Vulnerability and Assessment Language). Это основанный на XML формат, предназначенный для автоматизированной оценки безопасности систем и предоставляющий средства для описания исследуемой системы, анализа ее состояния и формирования отчетов о результатах проверки. Реализация указанной меры включает в себя:
    • Выполнение сканирования защищенности объектов защиты – активное взаимодействие с объектами защиты с целью выявления уязвимостей и способов их эксплуатации. Данный режим работы целесообразно применять только в режиме технического обслуживания АСУ ТП.
    • Формирование отчетов по результатам сканирования ОЗ на уязвимости, включающие список выявленных уязвимостей и рекомендации по устранению выявленных уязвимостей.
    • Формирование отчетов по результатам проверки конфигураций ОЗ на соответствие требованиям ИБ, включающий список выявленных несоответствий.
  • АПКШ Континент 3.7 - Внутренняя синхронизация времени с ЦУС. ЦУС - синхронизация с сервером во внешней сети по NTP.
  • Континент-АП + Сервер доступа 3.7 - Внутренняя синхронизация времени СД с ЦУС.

  • vGate 4.0 - Политика синхронизации временив ВИ

  • Astra Linux Special Edition РУСБ.10015-01 - Выявление и оперативное устранение уязвимостей Astra Linux Special Edition производится разработчиком в соответствии с «Требованиями к уровням доверия», утвержденным приказом ФСТЭК России №131, и ГОСТ Р 56939

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — АУД.2 Анализ уязвимостей и их устранение

Наверх

Обратно к V. Аудит безопасности (АУД)

АУД.3 Генерирование временных меток и (или) синхронизация системного времени

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способ реализации: Использование серверов NTP, приемников ГЛОНАС/GPS.

Возможности некоторых продуктов:

  • АПКШ Континент 3.7 - Включение/выключение протоколирования разных журналов (системынй журнал, журнал НСД, журнал сетевого трафика)

  • Континент-АП + Сервер доступа 3.7 - АП - протоколирование подключений к серверу доступа в журнале соединений; СД - журнал событий.

  • Astra Linux Special Edition РУСБ.10015-01 - Синхронизация системного времени в информационной системе реализуется с использованием возможностей синхронизации системных часов

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — АУД.3 Генерирование временных меток и (или) синхронизация системного времени

Наверх

Обратно к V. Аудит безопасности (АУД)

АУД.4 Регистрация событий безопасности

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Смешанное

Способы реализации:

  • рекомендуемые: Системы управления информационной безопасностью и событиями безопасности - SIEM (Security information and event management).
  • возможные: Отправка событий на сервера регистрации по протоколу Syslog.
Настройка локального хранения событий.

Возможности некоторых продуктов:

  • CL DATAPK - Прием событий ИБ от объектов защиты. Генерация собственных событий ИБ
  • Secret Net Studio 8.5 - Регистрация событий безопасности в журнале Secret Net Studio, оперативные оповещения об НСД
  • Secret Net Studio - C 8.5 - Регистрация событий безопасности в журнале Secret Net Studio, оперативные оповещения об НСД
  • Secret Net LSP 1.9 - регистрация событий безопасности в журнал SN LSP, при совместной работе с SNS оперативное получение событий НСД, сбор журналов
  • ПАК “Соболь” 3.0.9 (M2) - 1) Регистрируются события успешного/неуспешного входа пользователя в систему, заведения/удаления/блокировки пользователей, изменения настроек, предъявления незарегистрированного идентификатора пользователя; введение неправильного пароля; превышение числа попыток входа в систему; число и дата НСД. 2) В Соболе 3.0 зарезервировано 80 записей + возможность подключить внешний журнал. Срока как такового - нет.
  • Соболь 4.2 - 1) Регистрируются события успешного/неуспешного входа пользователя в систему, заведения/удаления/блокировки пользователей, изменения настроек, предъявления незарегистрированного идентификатора пользователя; введение неправильного пароля; превышение числа попыток входа в систему; число и дата НСД. 2) В Соболе 4.2 один внутренний журнал , в котором 3072 записи. Срока тоже нет, но вроде как должно хватить на 3 месяца
  • АПКШ Континент 3.7 - МЭ, управление изолированными внутренними сегментами, разделение доступа и обеспечение контролируемого взаимодействия между ними
  • Континент-АП + Сервер доступа 3.7 - МЭ

  • vGate 4.0 - Регистрация событий связанных с операциями в ВИ и внутренних событий продукта

  • InfoWatch Person Monitor - Любые системы мониторинга и защиты информации
  • InfoWatch Traffic Monitor - Любые системы мониторинга и защиты информации
  • InfoWatch ARMA (Firewall, Endpoint, Management) - +
  • Astra Linux Special Edition РУСБ.10015-01 - Сбор, запись и хранение информации о событиях безопасности осуществляются с помощью средств централизованного протоколирования и ведения журналов аудита событий безопасности, установленных администратором, хранения записей системных журналов и записей о событиях безопасности в обособленном хранилище
  • UserGate - Функциональные возможности UserGate позволяют осуществлять сбор и хранение следующих событий: событий, связанных с изменением настроек; авторизация пользователей, администраторов, обновлений различных списков и т.п.; веб-запросы; срабатывания правил политик безопасности; события СОВ; поисковые запросы.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — АУД.4 Регистрация событий безопасности

Наверх

Обратно к V. Аудит безопасности (АУД)

АУД.5 Контроль и анализ сетевого трафика

Категория значимости 1 2 3
Наличие требования в Базовом набор мер +    

Тип требования: Функциональное

Способ реализации: Межсетевые экраны (МЭ), средства обнаружения вторжений (СОВ).

Возможности некоторых продуктов:

  • CL DATAPK - Реализация указанной меры включает в себя:
    • Выявление и контроль (проверка/учет) информационных потоков по сетевым реквизитам источников и получателей, а также протоколу и полезной нагрузке пакетов.
    • Анализ сетевого трафика реализуется путем разбора полей и полезной нагрузки пакетов и их анализа в соответствии с описанием протоколов и полезной нагрузки.
  • Secret Net Studio 8.5 - Персональный МЭ. Фильтрация трафика, сегментация локальной сети, аутентификация, контроль целостности и верификация всего трафика между агентами

  • Secret Net Studio - C 8.5 - Персональный МЭ. Фильтрация трафика, сегментация локальной сети, аутентификация, контроль целостности и верификация всего трафика между агентами

  • АПКШ Континент 3.7 - Шифрованный канал

  • Континент-АП + Сервер доступа 3.7 - Шифрованный канал

  • InfoWatch ARMA (Firewall, Endpoint, Management) - +
  • Astra Linux Special Edition РУСБ.10015-01 - Контроль сетевых потоков в ОС CН осуществляет встроенный в ядро Astra Linux Special Edition фильтр сетевых пакетов и монитор обращений. Правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов, а также атрибутами передаваемой информации
  • UserGate - Наличие функциональной возможности, позволяющей создавать политики доступа пользователей к сетевым ресурсам и протоколирование их действий.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — АУД.5 Контроль и анализ сетевого трафика

Наверх

Обратно к V. Аудит безопасности (АУД)

АУД.6 Защита информации о событиях безопасности

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Смешанное

Способы реализации:

  • рекомендуемые: Организационные меры, реализуемые путем выполнения положений внутренних руководящих документов.
  • возможные: Системы управления информационной безопасностью и событиями безопасности - SIEM (Security information and event management).

Возможности некоторых продуктов:

  • CL DATAPK - Управление доступом к БД.
  • Secret Net Studio 8.5 - Контроль целостности журнала Secret Net Studio
  • Secret Net Studio - C 8.5 - Контроль целостности журнала Secret Net Studio
  • Secret Net LSP 1.9 - архивирование, Контроль доступа к объектам файловой системы- защита журнала SN LSP
  • ПАК “Соболь” 3.0.9 (M2) - Ведение журнала безопасности в энергонезависимой памяти комплекса “Соболь”. Доступ только для администратора.
  • Соболь 4.2 - Ведение журнала безопасности в энергонезависимой памяти комплекса “Соболь”. Доступ только для администратора.
  • АПКШ Континент 3.7 - Да. НСД, реагирование на срабатывание ПФ
  • Континент-АП + Сервер доступа 3.7 - Да. Запрет/разрешение на срабатывание ПФ

  • vGate 4.0 - События хранятся на Сервее авторизации и не редактируемы

  • InfoWatch Person Monitor - Мониторинг действий сотрудников

  • Astra Linux Special Edition РУСБ.10015-01 - Защита информации о событиях безопасности реализуется монитором обращений в соответствии с реализованными правилами разграничения доступа к журналам аудита
  • UserGate - Функциональные возможности UserGate, препятствуют случайной или преднамеренной очистке журнала событий.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — АУД.6 Защита информации о событиях безопасности

Наверх

Обратно к V. Аудит безопасности (АУД)

АУД.7 Мониторинг безопасности

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Смешанное

Способы реализации:

  • рекомендуемые: Организационные меры, реализуемые в рамках реализации процедур выявления инцидентов и реагирования на них.
  • возможные: Средства мониторинга показателей функционирования компонентов информационных систем. Системы управления информационной безопасностью и событиями безопасности - SIEM (Security information and event management).

Возможности некоторых продуктов:

  • CL DATAPK - Мониторинг состояния ИБ путем контроля конфигураций, анализа уязвимостей, соответствия требованиям ИБ, сбор и корреляция событий ИБ. Реализация указанной меры включает в себя:
    • Возможность просмотра и фильтрации списка полученных событий и инцидентов ИБ. Визуализация статистических параметров для событий и инцидентов.
    • Выполнение сканирования защищенности объектов защиты – активное взаимодействие с объектами защиты с целью выявления уязвимостей и способов их эксплуатации. Формирование отчетов по результатам выполнения проверок.
    • Выполнение корреляции полученных событий службой корреляции на основе загруженных в CL DATAPK правил. Генерация инцидента ИБ в случае обнаружения событий и условий, соответствующих загруженному правилу корреляции.
  • Secret Net Studio 8.5 - События безопасности в журнале Secret Net Studio, оперативные оповещения об НСД. Общая, графическая панель мониторинга защищенности системы (защищаемого контура), с отображением оперативных данных и статистики
  • Secret Net Studio - C 8.5 - События безопасности в журнале Secret Net Studio, оперативные оповещения об НСД. Общая, графическая панель мониторинга защищенности системы (защищаемого контура), с отображением оперативных данных и статистики
  • Secret Net LSP 1.9 - журналы SN LSP, создание и хранение настраиваемых по различным критериям фильтров для формирования отчетов; контекстный поиск в журналах по названиям событий; поиск в журналах по временному интервалу; постраничный вывод содержимого журналов; сортировка отображаемой в журналах информации; сохранение отчетов в файл; интерактивный мониторинг событий.
  • ПАК “Соболь” 3.0.9 (M2) - Есть просмотр журнала событий + инструменты поиска событий по времени и по типу

  • Соболь 4.2 - Есть просмотр журнала событий + инструменты поиска событий по времени и по типу

  • vGate 4.0 - Сбор и корреляция событий в ВИ, отправка уведомлений о критичных событиях
  • InfoWatch Endpoint Security - +

  • InfoWatch Person Monitor - Контроль над рабочим местом отдельного сотрудника

  • InfoWatch ARMA (Firewall, Endpoint, Management) - +
  • Astra Linux Special Edition РУСБ.10015-01 - Мониторинг (просмотр, анализ) результатов регистрации событий безопасности реализуется с использованием средств организации распределенного мониторинга сети и жизнеспособности и целостности серверов. С целью выявления инцидентов безопасности и реагирования на них и анализа записанных сетевых потоков в информационной системе могут использоваться сертифицированные системы управления событиями безопасности (SIEM) и систем обнаружения вторжений
  • UserGate - Функциональные возможности UserGate позволяют просмотреть зарегистрированные события безопасности, а также направить уведомление (email, SMS) при наступления заданного события.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — АУД.7 Мониторинг безопасности

Наверх

Обратно к V. Аудит безопасности (АУД)

АУД.8 Реагирование на сбои при регистрации событий безопасности

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Смешанное

Способы реализации:

  • рекомендуемые: Организационные меры, реализуемые в рамках реализации процедур выявления инцидентов и реагирования на них.
  • возможные: Средства оперативной организации и автоматизации деятельности по мониторингу, регистрации и реагированию на инциденты информационной безопасности - IRP (Incident Response Platform).

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Есть реакция на переполнение журнала.
  • Secret Net Studio - C 8.5 - Есть реакция на переполнение журнала.
  • Secret Net LSP 1.9 - компоненты подсистемы контроля работоспособности, реализующие про- верку запуска и работоспособности подсистемы ведения журналов.
  • ПАК “Соболь” 3.0.9 (M2) - В случае если при регистрации события произойдет сбой - при записи будет выдана ошибка, компьютер будет заблокирован из-за нарушения целостности внутренних структур
  • Соболь 4.2 - В случае если при регистрации события произойдет сбой - при записи будет выдана ошибка, компьютер будет заблокирован из-за нарушения целостности внутренних структур
  • АПКШ Континент 3.7 - Фильтрация при просмотре событий
  • Континент-АП + Сервер доступа 3.7 - Фильтрация при просмотре событий

  • vGate 4.0 - Отправка уведомлений о событиях безопасности

  • Astra Linux Special Edition РУСБ.10015-01 - Реагирование на сбои регистрации и предупреждения администратора при заполнении объема памяти для хранения информации о событиях безопасности осуществляются с помощью средств централизованного протоколирования и аудита событий безопасности

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — АУД.8 Реагирование на сбои при регистрации событий безопасности

Наверх

Обратно к V. Аудит безопасности (АУД)

АУД.9 Анализ действий отдельных пользователей

Категория значимости 1 2 3
Наличие требования в Базовом набор мер +    

Тип требования: Смешанное

Способы реализации:

  • рекомендуемые: Организационные меры, реализуемые путем выполнения положений внутренних руководящих документов.
  • возможные: Системы управления информационной безопасностью и событиями безопасности - SIEM (Security information and event management). Средства контроля действий пользователей (DLP – системы). Системы контроля действий привилегированных учетных записей - PAM (Privileged Account/Access Management).

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Журнал Secret Net Studio
  • Secret Net Studio - C 8.5 - Журнал Secret Net Studio

  • Secret Net LSP 1.9 - Журнал Secret Net LSP

  • vGate 4.0 - Возмоожность фильтрации событий по консретному пользователю

  • InfoWatch Person Monitor - Контроль над рабочим местом отдельного сотрудника

  • InfoWatch ARMA (Firewall, Endpoint, Management) - +
  • Astra Linux Special Edition РУСБ.10015-01 - Просмотр и анализ информации о действиях пользователей предоставляется администратору (пользователям в соответствии с установленными правилами разграничения доступа) с использованием средств централизованного протоколирования и ведения журналов аудита событий безопасности
  • UserGate - Функциональные возможности UserGate позволяют протоколировать действия пользователей при работе с сетевыми ресурсами и сетью Интернет.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — АУД.9 Анализ действий пользователей

Наверх

Обратно к V. Аудит безопасности (АУД)

АУД.10 Проведение внутренних аудитов

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Смешанное

Способы реализации:

  • рекомендуемые: Организационные меры, реализуемые путем выполнения положений внутренних руководящих документов.
  • возможные: Средства анализа защищенности.

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Журнал Secret Net Studio
  • Secret Net Studio - C 8.5 - Журнал Secret Net Studio

  • Secret Net LSP 1.9 - Журнал Secret Net LSP

  • vGate 4.0 - Отчеты, регистрация событий и мониторинг

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — АУД.10 Проведение внутренних аудитов

Наверх

Обратно к V. Аудит безопасности (АУД)

АУД.11 Проведение внешних аудитов

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Тип требования: Процедурное

Способ реализации: Привлечение подрядных организаций.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — АУД.11 Проведение внешних аудитов

Наверх

Обратно к V. Аудит безопасности (АУД)

VI. Антивирусная защита (АВЗ)

Наверх

АВЗ.0 Регламентация правил и процедур антивирусной защиты

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Процедурное

Способ реализации: Организационные меры.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — АВЗ.0 Разработка политики антивирусной защиты

Наверх

Обратно к VI. Антивирусная защита (АВЗ)

АВЗ.1 Реализация антивирусной защиты

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способ реализации: Средства антивирусной защиты (САВЗ).

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Наличие антивирусного модуля

  • InfoWatch ARMA (Firewall, Endpoint, Management) - +

  • UserGate - Наличие модуля антивирусной защиты, позволяющего выполнять проверку сетевого трафика на наличие вредоносного кода.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — АВЗ.1 Реализация антивирусной защиты

Наверх

Обратно к VI. Антивирусная защита (АВЗ)

АВЗ.2 Антивирусная защита электронной почты и иных сервисов

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способ реализации: Средства антивирусной защиты (САВЗ) для электронных почтовых систем.

Возможности некоторых продуктов:

  • InfoWatch ARMA (Firewall, Endpoint, Management) - +

  • UserGate - Функциональные возможности модуля антивирусной защиты позволяют осуществлять проверку транзитного почтового трафика на предмет наличия в нем вирусов и спам-сообщений.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — АВЗ.2 Антивирусная защита электронной почты и иных сервисов

Наверх

Обратно к VI. Антивирусная защита (АВЗ)

АВЗ.3 Контроль использования архивных, исполняемых и зашифрованных файлов

Категория значимости 1 2 3
Наличие требования в Базовом набор мер +    

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Средства антивирусной защиты (САВЗ).
  • возможные: Эмулятор среды функционирования ПО (песочница).

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Выполняется проверка на вирусы архивных и исполняемых файлов. Содержимое шифрованных файлов проверяется при расшифровании

  • InfoWatch ARMA (Firewall, Endpoint, Management) - +
  • Astra Linux Special Edition РУСБ.10015-01 - Контроль использования файлов осуществляется средствами контроля целостности объектов файловой системы и в соответствии с установленными правилами разграничения доступа

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — АВЗ.3 Контроль использования архивных, исполняемых и зашифрованных файлов

Наверх

Обратно к VI. Антивирусная защита (АВЗ)

АВЗ.4 Обновление базы данных признаков вредоносных компьютерных программ (вирусов)

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Смешанное

Способы реализации:

  • рекомендуемые: Организационные меры, реализуемые путем выполнения положений внутренних руководящих документов.
  • возможные: Встроенные механизмы средства антивирусной защиты (САВЗ).

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Возможность обновления баз сигнатур вирусов как в сетевой версии, так и в локальной

  • UserGate - Наличие возможности выполнять обновление базы данных признаков вредоносного кода для модуля антивирусной защиты.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — АВЗ.4 Обновление базы данных признаков вредоносных компьютерных программ (вирусов)

Наверх

Обратно к VI. Антивирусная защита (АВЗ)

АВЗ.5 Использование средств антивирусной защиты различных производителей

Категория значимости 1 2 3
Наличие требования в Базовом набор мер +    

Тип требования: Смешанное

Способы реализации:

  • рекомендуемые: Организационные меры, реализуемые путем выполнения положений внутренних руководящих документов.
  • возможные: Средства антивирусной защиты (САВЗ).

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Два антивирусных модуля на выбор при установке

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — АВЗ.5 Использование средств антивирусной защиты различных производителей

Наверх

Обратно к VI. Антивирусная защита (АВЗ)

VII. Предотвращение вторжений (компьютерных атак) (СОВ)

Наверх

СОВ.0 Регламентация правил и процедур предотвращения вторжений (компьютерных атак)

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + +  

Тип требования: Процедурное

Способ реализации: Организационные меры.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — СОВ.0 Разработка политики предотвращения вторжений (компьютерных атак)

Наверх

Обратно к VII. Предотвращение вторжений (компьютерных атак) (СОВ)

СОВ.1 Обнаружение и предотвращение компьютерных атак

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + +  

Тип требования: Функциональное

Способ реализации: Средства обнаружения/предотвращения вторжений / обнаружения атак (СОВ/СПВ/СОА).

Возможности некоторых продуктов:

  • CL DATAPK - Обнаружение вторжений путем сигнатурного анализа копии трафика, циркулирующего в АСУ ТП.

  • Secret Net Studio 8.5 - Модуль СОВ (сигнатурные и эвристические способы обнаружения вторжений)

  • АПКШ Континент 3.7 - Встраиваемый комплекс СОВ (сигнатурные и эвристические способы обнаружения вторжений).

  • InfoWatch ARMA (Firewall, Endpoint, Management) - +

  • UserGate - Наличие модуля обнаружения и предотвращения вторжений, позволяющего отслеживать и блокировать сетевые атаки в режиме реального времени.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — СОВ.1 Обнаружение и предотвращение компьютерных атак

Наверх

Обратно к VII. Предотвращение вторжений (компьютерных атак) (СОВ)

СОВ.2 Обновление базы решающих правил

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + +  

Тип требования: Смешанное

Способы реализации:

  • рекомендуемые: Организационные меры, реализуемые путем выполнения положений внутренних руководящих документов.
  • возможные: Встроенные механизмы средства обнаружения/предотвращения вторжений / обнаружения атак (СОВ/СПВ/СОА).

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Возможность обновлений БРП СОВ

  • АПКШ Континент 3.7 - Сервер обновлений БРП СОВ

  • InfoWatch ARMA (Firewall, Endpoint, Management) - +

  • UserGate - Наличие возможности выполнять обновление базы решающих правил для модуля обнаружения и предотвращения вторжений.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — СОВ.2 Обновление базы решающих правил

Наверх

Обратно к VII. Предотвращение вторжений (компьютерных атак) (СОВ)

VIII. Обеспечение целостности (ОЦЛ)

Наверх

ОЦЛ.0 Регламентация правил и процедур обеспечения целостности

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Процедурное

Способ реализации: Организационные меры.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ОЦЛ.0 Разработка политики обеспечения целостности

Наверх

Обратно к VIII. Обеспечение целостности (ОЦЛ)

ОЦЛ.1 Контроль целостности программного обеспечения

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: СЗИ от НСД. Сканеры анализа защищенности,

Возможности некоторых продуктов:

  • CL DATAPK - Контроль целостности файлов, реестра, БД, результатов вывода команд. Включает в себя активный сбор данных с ОЗ (из файлов, реестра, баз данных, выводов команд) и контроль за изменениями собираемых данных.
  • Secret Net Studio 8.5 - Контроль целостности (файлы, папки, реестр) Замкнутая программная среда с возможностью контроля целостности модулей
  • Secret Net Studio - C 8.5 - Контроль целостности (файлы, папки, реестр) Замкнутая программная среда с возможностью контроля целостности модулей
  • Secret Net LSP 1.9 - Контроль целостности (файлы, папки) Замкнутая программная среда с возможностью контроля целостности модулей
  • ПАК “Соболь” 3.0.9 (M2) - По контрольным суммам. При этом целостность средств защиты проверяется при загрузке системы по наличию имен (идентификаторов) компонент СЗПДн. Целостность программной среды обеспечивается отсутствием в ИСПДн средств разработки и отладки программ.
  • Соболь 4.2 - По контрольным суммам. При этом целостность средств защиты проверяется при загрузке системы по наличию имен (идентификаторов) компонент СЗПДн. Целостность программной среды обеспечивается отсутствием в ИСПДн средств разработки и отладки программ.
  • АПКШ Континент 3.7 - Средствами входящего в конструкцию ПАК “Соболь”
  • Континент-АП + Сервер доступа 3.7 - Программный КЦ

  • vGate 4.0 - Контроль целостности файлов внутри ВМ, кончтроль целостности собственных компонентов vGate

  • InfoWatch ARMA (Firewall, Endpoint, Management) - +
  • Astra Linux Special Edition РУСБ.10015-01 - Для обеспечения контроля целостности программного обеспечения и средств защиты информации используются средства динамического и регламентного контроля целостности

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ОЦЛ.1 Контроль целостности программного обеспечения

Наверх

Обратно к VIII. Обеспечение целостности (ОЦЛ)

ОЦЛ.2 Контроль целостности информации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: СЗИ от НСД

Возможности некоторых продуктов:

  • CL DATAPK - Контроль целостности файлов, реестра, БД, результатов вывода команд. Включает в себя активный сбор данных с ОЗ (из файлов, реестра, баз данных, выводов команд) и контроль за изменениями собираемых данных.
  • Secret Net Studio 8.5 - Контроль целостности файлов и папок
  • Secret Net Studio - C 8.5 - Контроль целостности файлов и папок
  • Secret Net LSP 1.9 - Контроль целостности файлов и папок
  • ПАК “Соболь” 3.0.9 (M2) - Контроль целостности файлов и папок до загрузки

  • Соболь 4.2 - Контроль целостности файлов и папок до загрузки

  • vGate 4.0 - Контроль целостности ВМ, контроль целостности файлов внутри ВМ, кончтроль целостности собственных компонентов vGate

  • InfoWatch Traffic Monitor - +

  • Astra Linux Special Edition РУСБ.10015-01 - Контроль целостности информации реализуется с использованием функций безопасности системы управления базами данных и средств динамического и регламентного контроля целостности

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ОЦЛ.2 Контроль целостности информации

Наверх

Обратно к VIII. Обеспечение целостности (ОЦЛ)

ОЦЛ.3 Ограничения по вводу информации в информационную (автоматизированную) систему

Категория значимости 1 2 3
Наличие требования в Базовом набор мер +    

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: СЗИ от НСД. Межсетевые экраны (МЭ).

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Полномочное управление доступом в режиме контроля потоков информации

  • Secret Net Studio - C 8.5 - Полномочное управление доступом в режиме контроля потоков информации

  • vGate 4.0 - Контроль доступа к хранилищам данных

  • InfoWatch Person Monitor - +

  • InfoWatch ARMA (Firewall, Endpoint, Management) - +
  • Astra Linux Special Edition РУСБ.10015-01 - Ввод пользователями информации осуществляется строго с учетом и в соответствии с установленными правилами разграничения доступа, на основе типа операции (чтение, запись, исполнение), контекста безопасности пользователя и классификационной метки объекта

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ОЦЛ.3 Ограничения по вводу информации в информационную (автоматизированную) систему

Наверх

Обратно к VIII. Обеспечение целостности (ОЦЛ)

ОЦЛ.4 Контроль данных, вводимых в информационную (автоматизированную) систему

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + +  

Тип требования: Функциональное

Способ реализации: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.

Возможности некоторых продуктов:

  • InfoWatch Person Monitor - +

  • InfoWatch ARMA (Firewall, Endpoint, Management) - +

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ОЦЛ.4 Контроль данных, вводимых в информационную (автоматизированную) систему

Наверх

Обратно к VIII. Обеспечение целостности (ОЦЛ)

ОЦЛ.5 Контроль ошибочных действий пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действиях

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + +  

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: Средства контроля действий пользователей (DLP – системы).

Возможности некоторых продуктов:

  • InfoWatch Person Monitor - +

  • InfoWatch ARMA (Firewall, Endpoint, Management) - +
  • Astra Linux Special Edition РУСБ.10015-01 - Контроль осуществляется средствами протоколирования и аудита событий (в том числе, действий пользователя) в соответствии с установленными правилами разграничения доступа

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ОЦЛ.5 Контроль ошибочных действий пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действиях

Наверх

Обратно к VIII. Обеспечение целостности (ОЦЛ)

ОЦЛ.6 Обезличивание и (или) деидентификация информации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Тип требования: Функциональное

Способ реализации: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ОЦЛ.6 Обезличивание и (или) деидентификация информации

Наверх

Обратно к VIII. Обеспечение целостности (ОЦЛ)

IX. Обеспечение доступности (ОДТ)

Наверх

ОДТ.0 Регламентация правил и процедур обеспечения доступности

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Процедурное

Способ реализации: Организационные меры.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ОДТ.0 Разработка политики обеспечения доступности

Наверх

Обратно к IX. Обеспечение доступности (ОДТ)

ОДТ.1 Использование отказоустойчивых технических средств

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + +  

Тип требования: Смешанное

Способы реализации:

  • рекомендуемые: Организационные меры, реализуемые путем выполнения положений внутренних руководящих документов.
  • возможные: Использование резервирования основных технических средств, Резервирование каналов передачи информации. Создание отказоустойчивых конфигураций.

Возможности некоторых продуктов:

  • АПКШ Континент 3.7 - Multiwan, Failover

  • Континент-АП + Сервер доступа 3.7 - Multiwan, Failover Горячее резервирование СД

  • Astra Linux Special Edition РУСБ.10015-01 - Возможность работы Astra Linux Special Edition на нескольких технических средствах в отказоустойчивом режиме обеспечивает доступность сервисов и информации при выходе из строя одного из технических средств (отказоустойчивый кластер)
  • UserGate - Наличие функциональной возможности, позволяющей построить отказоустойчивый кластер.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ОДТ.1 Использование отказоустойчивых технических средств

Наверх

Обратно к IX. Обеспечение доступности (ОДТ)

ОДТ.2 Резервирование средств и систем

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + +  

Тип требования: Смешанное

Способы реализации:

  • рекомендуемые: Организационные меры, реализуемые путем выполнения положений внутренних руководящих документов.
  • возможные: Использование резервирования основных технических средств, Резервирование каналов передачи информации. Создание отказоустойчивых конфигураций.

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Возможность использования нескольких СБ в одном домене безопасности

  • Secret Net Studio - C 8.5 - Возможность использования нескольких СБ в одном домене безопасности

  • АПКШ Континент 3.7 - Горячее резервирование КШ, WAN Failover, Multiwan
  • Континент-АП + Сервер доступа 3.7 - Горячее резервирование СД

  • vGate 4.0 - Возможность резервирования сервера авторизации vGate

  • UserGate - Наличие функциональной возможности, позволяющей построить отказоустойчивый кластер.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ОДТ.2 Резервирование средств и систем

Наверх

Обратно к IX. Обеспечение доступности (ОДТ)

ОДТ.3 Контроль безотказного функционирования средств и систем

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + +  

Тип требования: Смешанное

Способы реализации:

  • рекомендуемые: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: Средства мониторинга показателей функционирования компонентов информационных систем. Отправка событий на сервера регистрации по протоколу Syslog.

Возможности некоторых продуктов:

  • CL DATAPK - Проверка доступности объектов защиты. Реализация указанной меры включает в себя:
    • Определение доступности объекта защиты в режиме пассивного мониторинга путем проверки наличия исходящего сетевого трафика от объекта защиты в течение некоторого временного периода. Если в течение указанного периода исходящий трафик отсутствует, объект защиты считается недоступным.
    • Отображение доступности объектов защиты на карте-схеме сети и в списке объектов защиты.
    • Генерация события ИБ в случае недоступности объекта защиты.
  • Secret Net Studio 8.5 - Проведение функционального контроля

  • Secret Net Studio - C 8.5 - Проведение функционального контроля

  • АПКШ Континент 3.7 - Мониторинг работоспособности каналов на ПУ
  • Континент-АП + Сервер доступа 3.7 - Горячее резервирование

  • vGate 4.0 - Возможность автоматического переключения на резервировный сервера авторизации vGate

  • Astra Linux Special Edition РУСБ.10015-01 - Контроль за состоянием информационной системы осуществляется путем регистрации событий и анализа содержимого системных журналов
  • UserGate - Реализована поддержка протоколов SNMP v2c и SNMP v3, с помощью которых возможно осуществлять мониторинг за критическими параметрами UserGate.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ОДТ.3 Контроль безотказного функционирования средств и систем

Наверх

Обратно к IX. Обеспечение доступности (ОДТ)

ОДТ.4 Резервное копирование информации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Смешанное

Способы реализации:

  • рекомендуемые: Средства резервного копирования информации (СРК)
  • возможные: Реализуется организационными мерами по резервированию программного обеспечения (файлов конфигурации) и восстановлению при возникновении нештатных ситуаций

Возможности некоторых продуктов:

  • Astra Linux Special Edition РУСБ.10015-01 - Резервное копирование осуществляется с использованием специальных программ и утилит, позволяющих восстанавливать информацию и объекты файловой системы с сохранением их атрибутов безопасности и аудита

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ОДТ.4 Резервное копирование информации

Наверх

Обратно к IX. Обеспечение доступности (ОДТ)

ОДТ.5 Обеспечение возможности восстановления информации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Смешанное

Способы реализации:

  • рекомендуемые: Средства резервного копирования информации (СРК)
  • возможные: Реализуется организационными мерами по резервированию программного обеспечения (файлов конфигурации) и восстановлению при возникновении нештатных ситуаций

Возможности некоторых продуктов:

  • ПАК “Соболь” 3.0.9 (M2) - Процедура переинициализации

  • Соболь 4.2 - Процедура переинициализации

  • Astra Linux Special Edition РУСБ.10015-01 - Резервное копирование осуществляется с использованием программ и утилит, позволяющих восстанавливать информацию и объекты файловой системы, и сервисов планирования выполнения заданий
  • UserGate - Наличие функциональной возможности, позволяющей осуществлять резервирования настроек и состояния UserGate с целью последующего восстановления в случае возникновения нештатных ситуаций.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ОДТ.5 Обеспечение возможности восстановления информации

Наверх

Обратно к IX. Обеспечение доступности (ОДТ)

ОДТ.6 Обеспечение возможности восстановления программного обеспечения при нештатных ситуациях

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Смешанное

Способы реализации:

  • рекомендуемые: Средства резервного копирования информации (СРК)
  • возможные: Реализуется организационными мерами по резервированию программного обеспечения (файлов конфигурации) и восстановлению при возникновении нештатных ситуаций

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Шаблоны политик. Резервирование серверов безопасности. Функция исправления на клиентах. Возможность восстановления объектов при нарушении целостности

  • Secret Net Studio - C 8.5 - Шаблоны политик. Резервирование серверов безопасности. Функция исправления на клиентах. Возможность восстановления объектов при нарушении целостности

  • Astra Linux Special Edition РУСБ.10015-01 - Восстановление информации осуществляется с использованием специальных программ и утилит, позволяющих восстанавливать информацию и объекты файловой системы с сохранением их атрибутов безопасности и аудита
  • UserGate - Наличие функциональной возможности, позволяющей осуществлять резервирования настроек и состояния UserGate с целью последующего восстановления в случае возникновения нештатных ситуаций.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ОДТ.6 Обеспечение возможности восстановления программного обеспечения при нештатных ситуациях

Наверх

Обратно к IX. Обеспечение доступности (ОДТ)

ОДТ.7 Кластеризация информационной (автоматизированной) системы

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Тип требования: Смешанное

Способ реализации: Организационные меры.

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Работоспособность СЗИ на кластере. Сформулированы ограничения и рекомендации

  • Secret Net Studio - C 8.5 - Работоспособность СЗИ на кластере. Сформулированы ограничения и рекомендации

  • АПКШ Континент 3.7 - Кластер КШ
  • Континент-АП + Сервер доступа 3.7 - Кластер СД

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ОДТ.7 Кластеризация информационной (автоматизированной) системы

Наверх

Обратно к IX. Обеспечение доступности (ОДТ)

ОДТ.8 Контроль предоставляемых вычислительных ресурсов и каналов связи

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Смешанное

Способы реализации:

  • рекомендуемые: Средства мониторинга показателей функционирования компонентов информационных систем
  • возможные: Организации наблюдения за системами со стороны дежурного персонала (с использованием системы мониторинга).
Работа в рамках соглашений об уровне обслуживания, договоров на оказание услуг по организации и предоставлению каналов передачи данных.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ОДТ.8 Контроль предоставляемых вычислительных ресурсов и каналов связи

Наверх

Обратно к IX. Обеспечение доступности (ОДТ)

X. Защита технических средств и систем (ЗТС)

Наверх

ЗТС.0 Регламентация правил и процедур защиты технических средств и систем

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Процедурное

Способ реализации: Организационные меры.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗТС.0 Разработка политики защиты технических средств и систем

Наверх

Обратно к X. Защита технических средств и систем (ЗТС)

ЗТС.1 Защита информации от утечки по техническим каналам

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Тип требования: Функциональное

Способ реализации: Технические средства защиты информации от утечки по техническим каналам.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗТС.1 Защита информации от утечки по техническим каналам

Наверх

Обратно к X. Защита технических средств и систем (ЗТС)

ЗТС.2 Организация контролируемой зоны

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Смешанное

Способы реализации:

  • рекомендуемые: Физические меры защиты, организация пропускного и внутриобъектового режима.
  • возможные: Комплекс инженерно-технических средств охраны (КИТСО). Системы контроля и управления доступом (СКУД). Использование замков на монтажных шкафах, блок-боксах и т.п.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗТС.2 Организация контролируемой зоны

Наверх

Обратно к X. Защита технических средств и систем (ЗТС)

ЗТС.3 Управление физическим доступом

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Процедурное

Способы реализации:

  • рекомендуемые: Физические меры защиты, организация пропускного и внутриобъектового режима.
  • возможные: Комплекс инженерно-технических средств охраны (КИТСО). Системы контроля и управления доступом (СКУД). Использование замков на монтажных шкафах, блок-боксах и т.п.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗТС.3 Управление физическим доступом

Наверх

Обратно к X. Защита технических средств и систем (ЗТС)

ЗТС.4 Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Процедурное

Способы реализации:

  • рекомендуемые: Организационные меры, реализуемые путем выполнения положений внутренних руководящих документов.
  • возможные: Комплекс инженерно-технических средств охраны (КИТСО). Применение устройств с отключенными / отсутствующими возможностями по выводу информации.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗТС.4 Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр

Наверх

Обратно к X. Защита технических средств и систем (ЗТС)

ЗТС.5 Защита от внешних воздействий

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Процедурное

Способы реализации:

  • рекомендуемые: Инженерные системы.
  • возможные: Комплекс инженерно-технических средств охраны (КИТСО). Использование систем бесперебойного питания

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗТС.5 Защита от внешних воздействий

Наверх

Обратно к X. Защита технических средств и систем (ЗТС)

ЗТС.6 Маркирование аппаратных компонентов системы относительно разрешенной к обработке информации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Тип требования: Процедурное

Способ реализации: Организационные меры.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗТС.6 Маркирование аппаратных компонентов системы относительно разрешенной к обработке информации

Наверх

Обратно к X. Защита технических средств и систем (ЗТС)

XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

Наверх

ЗИС.0 Регламентация правил и процедур защиты информационной (автоматизированной) системы и ее компонентов

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Процедурное

Способ реализации: Организационные меры.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.0 Разработка политики защиты информационной (автоматизированной) системы и ее компонентов

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.1 Разделение функций по управлению (администрированию) информационной (автоматизированной) системой с иными функциями

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Смешанное

Способы реализации:

  • рекомендуемые: Организационные меры.
  • возможные: Возможно применение специализированных инструментов для разработки ролевой модели, позволяющих в автоматизированном режиме контролировать выполнение требований. Использование встроенных средствам ПО оборудования и подсистемам идентификации и аутентификации системного и прикладного ПО. СЗИ от НСД.

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Возможность разделения ролей для АИБ и Админитратора ИТ. Отдельная роль - пользователь системы.
  • Secret Net Studio - C 8.5 - Возможность разделения ролей для АИБ и Админитратора ИТ. Отдельная роль - пользователь системы.
  • Secret Net LSP 1.9 - Возможность разделения ролей - Администратор(root) и пользователь системы.
  • ПАК “Соболь” 3.0.9 (M2) - Возможность разделения ролей - Администратор и пользователь системы.

  • Соболь 4.2 - Возможность разделения ролей - Администратор и пользователь системы.

  • vGate 4.0 - Разделение ролей АБИ и АВИ

  • Astra Linux Special Edition РУСБ.10015-01 - Разделение функций по управлению (администрированию) системой в целом и системой защиты информации, функций по обработке информации реализуется согласно мерам УПД
  • UserGate - Наличие функциональной возможности, позволяющей создавать учетные записи для администрирования UserGate c набором разных полномочий.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.1 Разделение функций по управлению (администрированию) информационной (автоматизированной) системой с иными функциями

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.2 Защита периметра информационной (автоматизированной) системы

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Средства обнаружения/предотвращения вторжений / обнаружения атак (СОВ/СПВ/СОА), межсетевые экраны (МЭ).
  • возможные: Возможна реализация в рамках договоров на оказание услуг по организации и предоставлению каналов передачи данных.
Разделение сетей с ограничением сетевого взаимодействия.

Возможности некоторых продуктов:

  • АПКШ Континент 3.7 - МЭ
  • Континент-АП + Сервер доступа 3.7 - МЭ (под Windows)

  • vGate 4.0 - Все защищаемые сервера распологаются за сервером авторизации vGate

  • InfoWatch ARMA (Firewall, Endpoint, Management) - +

  • UserGate - Наличие функциональной возможности, позволяющей осуществлять фильтрацию сетевого трафика между сетями общего пользования и информационной системой на уровне L3-L7.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.2 Защита периметра информационной (автоматизированной) системы

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.3 Эшелонированная защита информационной (автоматизированной) системы

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Смешанное

Способы реализации:

  • рекомендуемые: Организационные меры.
  • возможные: Средства обнаружения/предотвращения вторжений / обнаружения атак (СОВ/СПВ/СОА), межсетевые экраны (МЭ).

Возможности некоторых продуктов:

  • InfoWatch ARMA (Firewall, Endpoint, Management) - +

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.3 Эшелонированная защита информационной (автоматизированной) системы

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.4 Сегментирование информационной (автоматизированной) системы

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + +  

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Межсетевые экраны (МЭ).
  • возможные: Разделение сетей с ограничением сетевого взаимодействия.

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Правила доступа настройками МЭ

  • Secret Net Studio - C 8.5 - Правила доступа настройками МЭ

  • АПКШ Континент 3.7 - Сегментирование сети, МЭ, VLAN

  • vGate 4.0 - Все защищаемые сервера распологаются за сервером авторизации vGate, сегментация виртуальных сетей метками безопасности

  • InfoWatch ARMA (Firewall, Endpoint, Management) - +

  • etherCUT - Ручная физическая сегментация сетей или каналов связи с фиксацией фактов подключения/отключения сетевого соединения в АСУ ТП. Применяется для включения/отключения сетевых соединений “по требованию” или в рамках обеспечения действий в нештатных ситуациях (ДНС).

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.4 Сегментирование информационной (автоматизированной) системы

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.5 Организация демилитаризованной зоны

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способ реализации: Межсетевые экраны (МЭ).

Возможности некоторых продуктов:

  • АПКШ Континент 3.7 - Сегментирование сети, МЭ, ДМЗ

  • InfoWatch ARMA (Firewall, Endpoint, Management) - +

  • UserGate - Наличие функциональной возможности, позволяющей осуществлять публикацию сетевых ресурсов, расположенных в демилитаризованной зоны.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.5 Организация демилитаризованной зоны

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.6 Управление сетевыми потоками

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способ реализации: Межсетевые экраны (МЭ).

Возможности некоторых продуктов:

  • CL DATAPK - Реализация указанной меры включает в себя:
    • Использование режима пассивного мониторинга сети для обнаружения сетевых информационных потоков;
    • Генерация инцидента ИБ при обнаружении нового неодобренного потока;
    • Определение пользователем CL DATAPK легитимности обнаруженных сетевых потоков. Одобрение потоков (временное или бессрочное) и указание пользователем причины одобрения;
    • Отображение одобренных и неодобренных потоков между объектами защиты на карте сети.
  • АПКШ Континент 3.7 - Межсетевой экран, авторизация соединений, система обнаружения вторжений
  • Континент-АП + Сервер доступа 3.7 - Межсетевой экран, авторизация соединений

  • vGate 4.0 - Управление сетевыйми потоками к/от защимшаемым серверам

  • InfoWatch ARMA (Firewall, Endpoint, Management) - +
  • Astra Linux Special Edition РУСБ.10015-01 - Фильтрацию сетевых потоков в ОС CН осуществляет встроенный в ядро Astra Linux Special Edition фильтр сетевых пакетов и монитор обращений. Правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов, а также атрибутами передаваемой информации (классификационными метками в формате в соответствии с ГОСТ Р 58256 и контрольными суммами, вычисляемых в соответствии с ГОСТ Р 34.11-94 и ГОСТ Р 34.11-2012
  • UserGate - Наличие функциональной возможности, позволяющей осуществлять фильтрацию сетевого трафика между сетями общего пользования и информационной системой или сегментами информационной системы на уровне L3-L7.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.6 Управление сетевыми потоками

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.7 Использование эмулятора среды функционирования программного обеспечения (“песочница”)

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Тип требования: Функциональное

Способ реализации: Эмулятор среды функционирования ПО (песочница).

Возможности некоторых продуктов:

  • Astra Linux Special Edition РУСБ.10015-01 - Эмуляция среды функционирования реализуется средствами виртуализации

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.7 Использование эмулятора среды функционирования программного обеспечения (“песочница”)

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.8 Сокрытие архитектуры и конфигурации информационной (автоматизированной) системы

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Межсетевые экраны (МЭ).
  • возможные: Средства построения VPN-туннелей

Возможности некоторых продуктов:

  • АПКШ Континент 3.7 - Шифрованный канал, имитовставка, NAT

  • Континент-АП + Сервер доступа 3.7 - Шифрованный канал, имитовставка

  • InfoWatch ARMA (Firewall, Endpoint, Management) - +

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.8 Сокрытие архитектуры и конфигурации информационной (автоматизированной) системы

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.9 Создание гетерогенной среды

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Тип требования: Смешанное

Способ реализации: Организационные меры.

Возможности некоторых продуктов:

  • InfoWatch Traffic Monitor - +

  • Astra Linux Special Edition РУСБ.10015-01 - Возможность использования в информационной системе различных типов программного обеспечения реализуется с помощью использования виртуальной инфраструктуры, в составе которой возможно функционирование «недоверенных» гостевых операционных систем в доверенной среде Astra Linux Special Edition

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.9 Создание гетерогенной среды

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.10 Использование программного обеспечения, функционирующего в средах различных операционных систем

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Тип требования: Смешанное

Способ реализации: Организационные меры.

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Для защиты Windows-платформ - Secret Net Studio. Для защиты Linux-платформ - Secret Net LSP
  • Secret Net Studio - C 8.5 - Для защиты Windows-платформ - Secret Net Studio. Для защиты Linux-платформ - Secret Net LSP
  • Secret Net LSP 1.9 - Для защиты Windows-платформ - Secret Net Studio. Для защиты Linux-платформ - Secret Net LSP
  • ПАК “Соболь” 3.0.9 (M2) - Поддерживает разные ОС

  • Соболь 4.2 - Поддерживает разные ОС

  • Континент-АП + Сервер доступа 3.7 - АП поддерживает разные ОС.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.10 Использование программного обеспечения, функционирующего в средах различных операционных систем

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.11 Предотвращение задержки или прерывания выполнения процессов с высоким приоритетом со стороны процессов с низким приоритетом

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Тип требования: Функциональное

Способ реализации: Межсетевые экраны (МЭ).

Возможности некоторых продуктов:

  • АПКШ Континент 3.7 - Приоритезация трафика, очереди шифрования

  • InfoWatch ARMA (Firewall, Endpoint, Management) - +
  • Astra Linux Special Edition РУСБ.10015-01 - Предотвращение задержки или прерывания выполнения процессов осуществляется с использованием утилит управления приоритетами процессов

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.11 Предотвращение задержки или прерывания выполнения процессов с высоким приоритетом со стороны процессов с низким приоритетом

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.12 Изоляция процессов (выполнение программ) в выделенной области памяти

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Тип требования: Функциональное

Способ реализации: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.

Возможности некоторых продуктов:

  • Astra Linux Special Edition РУСБ.10015-01 - Изоляция процессов (выполнение программ) в выделенной области памяти реализована в ядре Astra Linux Special Edition

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.12 Изоляция процессов (выполнение программ) в выделенной области памяти

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.13 Защита неизменяемых данных

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + +  

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: Средства резервного копирования (СРК). СЗИ от НСД

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Проверка наличия, целостности содержимого, неизменности прав доступа и атрибутов
  • Secret Net Studio - C 8.5 - Проверка наличия, целостности содержимого, неизменности прав доступа и атрибутов
  • Secret Net LSP 1.9 - Проверка наличия, целостности содержимого, неизменности прав доступа и атрибутов
  • ПАК “Соболь” 3.0.9 (M2) - КЦ

  • Соболь 4.2 - КЦ

  • vGate 4.0 - контроль целостности ВМ

  • InfoWatch ARMA (Firewall, Endpoint, Management) - +
  • Astra Linux Special Edition РУСБ.10015-01 - Задача управления установкой в информационную систему разрешенного программного обеспечения реализуется средствами регламентного контроля целостности объектов файловой системы и в соответствии с установленными правилами разграничения доступа

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.13 Защита неизменяемых данных

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.14 Использование неперезаписываемых машинных носителей информации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Тип требования: Процедурное

Способ реализации: Организационные меры, реализуемые путем выполнения положений внутренних руководящих документов.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.14 Использование неперезаписываемых машинных носителей информации

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.15 Реализация электронного почтового обмена с внешними сетями через ограниченное количество контролируемых точек

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Тип требования: Процедурное

Способ реализации: Организационные меры, реализуемые путем выполнения положений внутренних руководящих документов.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.15 Реализация электронного почтового обмена с внешними сетями через ограниченное количество контролируемых точек

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.16 Защита от спама

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + +  

Тип требования: Функциональное

Способ реализации: Антиспам-решения.

Возможности некоторых продуктов:

  • UserGate - Наличие модуля защиты от спам-сообщений.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.16 Защита от спама

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.17 Защита информации от утечек

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Тип требования: Функциональное

Способ реализации: Средства контроля действий пользователей (DLP – системы).

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Контроль подключения устройств, теневое копирование. Контроль потоков. Контроль печати, теневое копирование

  • Secret Net Studio - C 8.5 - Контроль подключения устройств, теневое копирование. Контроль потоков. Контроль печати, теневое копирование

  • InfoWatch Traffic Monitor - +

  • Astra Linux Special Edition РУСБ.10015-01 - Защита информации от утечек реализуется комплексным применением инструментов по защите машинных носителей информации, фильтрации сетевых потоков, вывода документов на печать и в соответствии с установленными правилами разграничения доступа
  • UserGate - Наличие возможности интеграции с внешней DLP системой по протоколу ICAP.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.17 Защита информации от утечек

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.18 Блокировка доступа к сайтам или типам сайтов, запрещенных к использованию

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Средства фильтрации трафика
  • возможные: Хостовые средства антивирусной защиты (САВЗ).

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - СОВ

  • АПКШ Континент 3.7 - МЭ, усиленная фильтрация

  • InfoWatch Endpoint Security - +

  • InfoWatch ARMA (Firewall, Endpoint, Management) - +
  • Astra Linux Special Edition РУСБ.10015-01 - Блокировка доступа к сайтам или типам сайтов, запрещенных к использованию реализуется с помощью средств фильтрации сетевых потоков
  • UserGate - Наличие функциональной возможности, позволяющей создавать «белые» и «черные» списки веб-сайтов для соответственно предоставления и блокирования доступа пользователям.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.18 Блокировка доступа к сайтам или типам сайтов, запрещенных к использованию

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.19 Защита информации при ее передаче по каналам связи

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Средства построения VPN-тунелей, криптошлюзы.
  • возможные: Использование защищенных протоколов.
Реализация в рамках договоров на оказание услуг по организации и предоставлению каналов передачи данных.

Возможности некоторых продуктов:

  • АПКШ Континент 3.7 - Шифрованный канал, имитовставка
  • Континент-АП + Сервер доступа 3.7 - Шифрованный канал, имитовставка
  • vGate 4.0 - Защита управлющего траффика vGate

  • InfoWatch Endpoint Security - +

  • UserGate - Наличие функциональной возможности, позволяющей создавать VPN-подключения одного из следующих типов: Remote access VPN, Site-to-Site VPN.


Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.19 Защита информации при ее передаче по каналам связи

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.20 Обеспечение доверенных канала, маршрута

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способ реализации: Средства построения VPN-тунелей, криптошлюзы.

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Шифрование трафика в локальной сети, Шифрование данных при передаче между СБ и клиентом, защита канала передачи между AD/LDS и клиентом.
  • Secret Net Studio - C 8.5 - Шифрование трафика в локальной сети, Шифрование данных при передаче между СБ и клиентом, защита канала передачи между AD/LDS и клиентом.

  • Secret Net LSP 1.9 - Шифрование данных при передаче между СБ и клиентом при совместной работе с SNS

  • АПКШ Континент 3.7 - Шифрованный канал, имитовставка
  • Континент-АП + Сервер доступа 3.7 - Шифрованный канал, имитовставка

  • vGate 4.0 - Доверенный канал между компонентами vGate

  • Astra Linux Special Edition РУСБ.10015-01 - Доверенный канал обеспечивается средствами создания защищенных каналов и в соответствии с правилами разграничения доступа и установленными привилегиями
  • UserGate - Наличие функциональной возможности, позволяющей выбрать способ аутентификацию администраторов, при подключении к консоли управления UserGate, с использованием сертификатов.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.20 Обеспечение доверенных канала, маршрута

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.21 Запрет несанкционированной удаленной активации периферийных устройств

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способ реализации: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Контроль потоков и подключение устройств в зависимости от категории конфиденциальности.

  • Secret Net Studio - C 8.5 - Контроль потоков и подключение устройств в зависимости от категории конфиденциальности.

  • Astra Linux Special Edition РУСБ.10015-01 - Запрет реализуется с помощью исключения или блокирования доступа к модулям, отвечающим за работу соответствующих периферийных устройств, в соответствии с установленными правилами разграничения доступа, а также применением механизма фильтрации сетевых пакетов

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.21 Запрет несанкционированной удаленной активации периферийных устройств

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.22 Управление атрибутами безопасности при взаимодействии с иными информационными (автоматизированными) системами

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: СЗИ от НСД

Возможности некоторых продуктов:

  • Astra Linux Special Edition РУСБ.10015-01 - Передача и контроль целостности атрибутов информации осуществляется в соответствии с политикой управления доступом с учетом атрибутов передаваемой информации (классификационными метками в формате в соответствии с ГОСТ Р 58256 и контрольными суммами, вычисляемыми в соответствии с ГОСТ Р 34.11-94 и ГОСТ Р 34.11-2012)

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.22 Управление атрибутами безопасности при взаимодействии с иными информационными (автоматизированными) системами

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.23 Контроль использования мобильного кода

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Тип требования: Смешанное

Способ реализации: Оператором должны осуществляться контроль санкционированного и исключение несанкционированного использования технологий мобильного кода (активного контента) в информационной системе, в том числе регистрация событий, связанных с использованием технологии мобильного кода, их анализ и реагирование на нарушения, связанные с использованием технологии мобильного кода. Технология мобильного кода включает, в том числе использование Java, JavaScript, ActiveX, PDF, Postscript, Flash-анимация и VBScript и иных технологий.

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Возможность блокировки мобильного кода - JavaScript, VBScript, ActiveX
  • Secret Net Studio - C 8.5 - Возможность блокировки мобильного кода - JavaScript, VBScript, ActiveX

  • Secret Net LSP 1.9 - ЗПС, возможность блокировки исполнения скриптов

  • Astra Linux Special Edition РУСБ.10015-01 - Исключение несанкционированного использования технологий (запрета исполнения и несанкционированного использования кода) реализуется средствами создания ограничение программной среды, в частности созданием «замкнутой программной среды». Контроль осуществляется с помощью инструментов регистрации и анализа событий безопасности в системных журналах.

Аналоги в других приказах ФСТЭК России:

  • Приказ 21 — ЗИС.7 Контроль санкционированного и исключение несанкционированного использования технологий мобильного кода, в том числе регистрация событий, связанных с использованием технологий мобильного кода, их анализ и реагирование на нарушения, связанные с использованием технологий мобильного кода

  • Приказ 31 — ЗИС.23 Контроль использования мобильного кода

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.24 Контроль передачи речевой информации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Тип требования: Смешанное

Способ реализации: Технические средства контроля.

Возможности некоторых продуктов:

  • InfoWatch ARMA (Firewall, Endpoint, Management) - +

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.24 Контроль передачи речевой информации

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.25 Контроль передачи видеоинформации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Тип требования: Смешанное

Способ реализации: Технические средства контроля.

Возможности некоторых продуктов:

  • InfoWatch ARMA (Firewall, Endpoint, Management) - +

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.25 Контроль передачи видеоинформации

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.26 Подтверждение происхождения источника информации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Тип требования: Смешанное

Способ реализации: Средства электронной подписи.

Возможности некоторых продуктов:

  • Astra Linux Special Edition РУСБ.10015-01 - Подтверждение происхождения источника получаемой информации осуществляется службой DNS (системой доменных имен)

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.26 Подтверждение происхождения источника информации

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.27 Обеспечение подлинности сетевых соединений

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + +  

Тип требования: Функциональное

Способ реализации: Межсетевые экраны (МЭ). Средства построения VPN-тунелей, криптошлюзы.

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Авторизация сетевых соединений, защита трафика

  • Secret Net Studio - C 8.5 - Авторизация сетевых соединений, защита трафика

  • АПКШ Континент 3.7 - Защита трафика, парные связи
  • Континент-АП + Сервер доступа 3.7 - Сертификаты

  • vGate 4.0 - Доверенный канал между компонентами vGate

  • Astra Linux Special Edition РУСБ.10015-01 - Подлинность сетевых соединений обеспечивается средствами организации сквозной доверенной аутентификации, использования защищенных каналов и проверки целостности передаваемых пакетов
  • UserGate - Наличие функциональной возможности, позволяющей создавать VPN-подключения одного из следующих типов: Remote access VPN, Site-to-Site VPN.


Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.27 Обеспечение подлинности сетевых соединений

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.28 Исключение возможности отрицания отправки информации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Тип требования: Смешанное

Способ реализации: Средства электронной подписи.

Возможности некоторых продуктов:

  • InfoWatch Person Monitor - +

  • Astra Linux Special Edition РУСБ.10015-01 - Защита реализуется с применением СКЗИ — средств электронной подписи

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.28 Исключение возможности отрицания отправки информации

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.29 Исключение возможности отрицания получения информации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Тип требования: Смешанное

Способ реализации: Средства электронной подписи.

Возможности некоторых продуктов:

  • InfoWatch Person Monitor - +

  • Astra Linux Special Edition РУСБ.10015-01 - Защита реализуется с применением СКЗИ — средств электронной подписи

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.29 Исключение возможности отрицания получения информации

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.30 Использование устройств терминального доступа

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Тип требования: Смешанное

Способ реализации: Организационные меры.

Возможности некоторых продуктов:

  • InfoWatch Traffic Monitor - +

  • Astra Linux Special Edition РУСБ.10015-01 - Возможность обработки информации с помощью устройств терминального доступа реализуется средствами реализации терминального сервера, технологий «тонкого клиента» в сетях с клиент-серверной или терминальной архитектурой и службы виртуальных рабочих столов

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.30 Использование устройств терминального доступа

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.31 Защита от скрытых каналов передачи информации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Тип требования: Смешанное

Способ реализации: Организационные меры.

Возможности некоторых продуктов:

  • АПКШ Континент 3.7 - Блокируется трафик, который не попал ни под одно правило фильтрации; СОВ - HTTP туннель; HTTPS фильтрация

  • Континент-АП + Сервер доступа 3.7 - Запрет незащищенных соединений

  • InfoWatch Endpoint Security - +

  • InfoWatch Traffic Monitor - +
  • InfoWatch ARMA (Firewall, Endpoint, Management) - +
  • Astra Linux Special Edition РУСБ.10015-01 - Обеспечение защиты информации при ее передаче обеспечивается средствами контроля целостности передаваемой информации и использования защищенных каналов
  • UserGate - Наличие функциональной возможности, позволяющей выявлять неразрешенный сетевой трафик и осуществлять его блокировку.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.31 Защита от скрытых каналов передачи информации

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.32 Защита беспроводных соединений

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Смешанное

Способ реализации: Организационные меры.

Возможности некоторых продуктов:

  • CL DATAPK - Реализация указанной меры включает в себя:
    • Обнаружение новых каналов передачи информации в качестве сетевых информационных потоков при выполнении пассивного мониторинга сети;
    • Генерация инцидента ИБ при обнаружении нового неодобренного потока;
    • Определение пользователем CL DATAPK легитимности обнаруженного сетевого потока.

  • АПКШ Континент 3.7 - КШ - Поддержка 3G.

  • UserGate - Наличие функциональной возможности, позволяющей обеспечить безопасный гостевой интернет-доступ через Wi-Fi сеть.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.32 Защита беспроводных соединений

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.33 Исключение доступа через общие ресурсы

Категория значимости 1 2 3
Наличие требования в Базовом набор мер +    

Тип требования: Смешанное

Способ реализации: Организационные меры.

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Затирание информации в ПЗУ, ОЗУ и на внешних носителях.
    Контроль потоков информации. Дискреционные принцип разграничения доступа
  • Secret Net Studio - C 8.5 - Затирание информации в ПЗУ, ОЗУ и на внешних носителях.
    Контроль потоков информации. Дискреционные принцип разграничения доступа

  • Secret Net LSP 1.9 - Затирание информации в ПЗУ, ОЗУ и на внешних носителях.
    Дискреционные принцип разграничения доступа

  • InfoWatch ARMA (Firewall, Endpoint, Management) - +
  • Astra Linux Special Edition РУСБ.10015-01 - Исключение доступа через общие ресурсы реализуется монитором обращений и с помощью мандатного контроля целостности

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.33 Исключение доступа через общие ресурсы

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.34 Защита от угроз отказа в обслуживании (DOS, DDOS-атак)

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Системы защиты от сетевых атак

  • возможные: Компенсирующие меры по резервированию программных, технических средств и каналов связи

Возможности некоторых продуктов:

  • CL DATAPK - Обнаружение угроз отказа в обслуживании включает в себя анализ сетевого трафика с использованием сигнатурного метода.

  • Secret Net Studio 8.5 - Эвристический и сигнатурный анализы атак типа DoS, аномального сетевого трафика и т.д. Временная блокировка атакующих хостов

  • АПКШ Континент 3.7 - Исполнение СОВ - защита от DOS-атак

  • InfoWatch ARMA (Firewall, Endpoint, Management) - +
  • Astra Linux Special Edition РУСБ.10015-01 - Защита от угроз отказа в обслуживании (DOS, DDOS-атак) реализуется реализуется мандатным контролем целостности, ограничением замкнутой программной среды, настройкой режима «киоск», ограничением пользователей по использованию вычислительных ресурсов, интерпретаторов, макросов и консолей
  • UserGate - Наличие модуля защиты от Dos-атак, позволяющего отслеживать и блокировать атаки в режиме реального времени.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.34 Защита от угроз отказа в обслуживании (DOS, DDOS-атак)

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.35 Управление сетевыми соединениями

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способ реализации: Межсетевые экраны (МЭ).

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Персональный МЭ. Фильтрация трафика, сегментация локальной сети, аутентификация, контроль целостности и верификация всего трафика между агентами

  • Secret Net Studio - C 8.5 - Персональный МЭ. Фильтрация трафика, сегментация локальной сети, аутентификация, контроль целостности и верификация всего трафика между агентами

  • АПКШ Континент 3.7 - МЭ, управление изолированными внутренними сегментами, разделение доступа и обеспечение контролируемого взаимодействия между ними

  • Континент-АП + Сервер доступа 3.7 - МЭ

  • InfoWatch ARMA (Firewall, Endpoint, Management) - +
  • Astra Linux Special Edition РУСБ.10015-01 - Фильтрацию сетевых потоков в ОС CН осуществляет встроенный в ядро Astra Linux Special Edition фильтр сетевых пакетов и монитор обращений. Правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов, а также атрибутами передаваемой информации (классификационными метками в формате в соответствии с ГОСТ Р 58256 и контрольными суммами, вычисляемых в соответствии с ГОСТ Р 34.11-94 и ГОСТ Р 34.11-2012
  • UserGate - Наличие функциональной возможности, позволяющей осуществлять фильтрацию сетевого трафика на уровне L3-L7.
  • etherCUT - Ручная физическая сегментация сетей или каналов связи с фиксацией фактов подключения/отключения сетевого соединения в АСУ ТП. Применяется для включения/отключения сетевых соединений “по требованию” или в рамках обеспечения действий в нештатных ситуациях (ДНС).

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.35 Управление сетевыми соединениями

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.36 Создание (эмуляция) ложных компонентов информационных (автоматизированных) систем

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Тип требования: Функциональное

Способ реализации: Honeypot-решения.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.36 Создание (эмуляция) ложных компонентов информационных (автоматизированных) систем

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.37 Перевод информационной (автоматизированной) системы в безопасное состояние при возникновении отказов (сбоев)

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Тип требования: Смешанное

Способы реализации:

  • рекомендуемые: Организационные меры.
  • возможные: Специализированное ПО и средства кластеризации

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Блокировка рабочей станции при нарушении функционального контроля
  • Secret Net Studio - C 8.5 - Блокировка рабочей станции при нарушении функционального контроля

  • Secret Net LSP 1.9 - Блокировка системы в случае нарушения КЦ, при перезагрузке.

  • vGate 4.0 - Автопереключение серверов авторизации vGate

  • Astra Linux Special Edition РУСБ.10015-01 - В случае возникновения отказов перевод информационной системы осуществляется с использованием средств восстановления Astra Linux Special Edition и с применением наборов базовых конфигураций

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.37 Перевод информационной (автоматизированной) системы в безопасное состояние при возникновении отказов (сбоев)

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.38 Защита информации при использовании мобильных устройств

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Смешанное

Способы реализации:

  • рекомендуемые: Средства управления и обеспечения безопасности мобильной экосистемы предприятия - EMM (Enterprise Mobility Management) / MDM (Mobile Device Management). Применение специализированных защищенных мобильных операционных систем.
  • возможные: Отказ от применения мобильных устройств.

Возможности некоторых продуктов:

  • CL DATAPK - Контроль подключения мобильных устройств. Реализация указанной меры включает в себя периодическое получение с объекта защиты информации о подключенных к нему устройствах с использованием активного сбора данных.

  • Континент-АП + Сервер доступа 3.7 - АП поддерживает разные ОС.

  • Astra Linux Special Edition РУСБ.10015-01 - Защита реализуется в соответствии с политикой управления доступом и правилами разграничения доступа к внешним машинным носителям
  • UserGate - Наличие функциональной возможности, позволяющей создавать отдельные политики доступа к сетевым ресурсам c определенного типа мобильных устройств.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.38 Защита информации при использовании мобильных устройств

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.39 Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способ реализации: СЗИ от НСД для сред виртуализации

Возможности некоторых продуктов:

  • vGate 4.0 - Контроль миграции, клонирования и других операции с виртуальными машинами

  • Astra Linux Special Edition РУСБ.10015-01 - Управление перемещением виртуальных машин реализуется с использованием интерфейсов управления средствами виртуализации

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.39 Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

XII. Реагирование на компьютерные инциденты (ИНЦ)

Наверх

ИНЦ.0 Регламентация правил и процедур реагирования на компьютерные инциденты

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Процедурное

Способ реализации: Организационные меры.

Возможности некоторых продуктов:

  • Astra Linux Special Edition РУСБ.10015-01 - Политика реагирования на компьютерные инциденты регламентируется ОРД

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ИНЦ.0 Разработка политики реагирования на компьютерные инциденты

Наверх

Обратно к XII. Реагирование на компьютерные инциденты (ИНЦ)

ИНЦ.1 Выявление компьютерных инцидентов

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Смешанное

Способы реализации:

  • рекомендуемые: Организационные меры, реализуемые путем выполнения положений внутренних руководящих документов.
  • возможные: Средства автоматизации процессов управления информационной безопасности.

Возможности некоторых продуктов:

  • CL DATAPK - Выявление и анализ событий ИБ, в т. ч. путем корреляции событий.
  • Secret Net Studio 8.5 - Мониторинг системы, информация в журнале Secret Net Studio, система уровня тревог, оповещения о НСД
  • Secret Net Studio - C 8.5 - Мониторинг системы, информация в журнале Secret Net Studio, система уровня тревог, оповещения о НСД

  • Secret Net LSP 1.9 - журнал SN LSP

  • АПКШ Континент 3.7 - Да. НСД, реагирование на срабатывание ПФ
  • Континент-АП + Сервер доступа 3.7 - Да. Запрет/разрешение на срабатывание ПФ

  • vGate 4.0 - Мониторинг и корреляция событий безопасности в виртуальной инфрастурктуре

  • InfoWatch Traffic Monitor - +
  • InfoWatch ARMA (Firewall, Endpoint, Management) - +
  • Astra Linux Special Edition РУСБ.10015-01 - Выявление результатов регистрации событий безопасности реализуется с использованием средств организации распределенного мониторинга сети и жизнеспособности и целостности серверов

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ИНЦ.1 Выявление компьютерных инцидентов

Наверх

Обратно к XII. Реагирование на компьютерные инциденты (ИНЦ)

ИНЦ.2 Информирование о компьютерных инцидентах

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Смешанное

Способы реализации:

  • рекомендуемые: Организационные меры, реализуемые путем выполнения положений внутренних руководящих документов.
  • возможные: Средства автоматизации процессов управления информационной безопасности.

Возможности некоторых продуктов:

  • CL DATAPK - Реализация указанной меры включает в себя:
    • Оповещение в интерфейсе CL DATAPK;
    • Передача событий в смежные системы.
  • Secret Net Studio 8.5 - Оперативное оповещение об НСД, журналы Secret Net Studio
  • Secret Net Studio - C 8.5 - Оперативное оповещение об НСД, журналы Secret Net Studio

  • Secret Net LSP 1.9 - при совместной работе с SNS оперативное получение событий НСД, возможность оповещения администратора по почте, журналы SN LSP

  • АПКШ Континент 3.7 - Да. НСД, реагирование на срабатывание ПФ
  • Континент-АП + Сервер доступа 3.7 - Да. Запрет/разрешение на срабатывание ПФ

  • vGate 4.0 - Генерация инцидентов на основе правил корреляции. Отправка событий безопасности vGate

  • InfoWatch Traffic Monitor - +
  • InfoWatch ARMA (Firewall, Endpoint, Management) - +
  • Astra Linux Special Edition РУСБ.10015-01 - Мониторинг (просмотр, анализ) результатов регистрации событий безопасности реализуется с использованием средств организации распределенного мониторинга сети и жизнеспособности и целостности серверов
  • UserGate - Наличие функциональной возможности, позволяющей своевременно уведомлять ответственных лиц, посредством email и SMS рассылки, при наступления заданных события безопасности.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ИНЦ.2 Информирование о компьютерных инцидентах

Наверх

Обратно к XII. Реагирование на компьютерные инциденты (ИНЦ)

ИНЦ.3 Анализ компьютерных инцидентов

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Смешанное

Способы реализации:

  • рекомендуемые: Организационные меры, реализуемые путем выполнения положений внутренних руководящих документов.
  • возможные: Средства автоматизации процессов управления информационной безопасности.

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Возможность поиска и фильтрации информации, формирования произвольных выборок по журналам
  • Secret Net Studio - C 8.5 - Мониторинг системы, информация в журнале Secret Net Studio, система уровня тревог, оповещения о НДС

  • Secret Net LSP 1.9 - при совместной работе с SNS графическая панель тревог, журнал SN LSP+с помощью СБ SNS с помощью фильтров, выборок, поиска

  • АПКШ Континент 3.7 - Возможность поиска и фильтрации информации, формирования произвольных выборок по журналам. Возможность передачи информации в сторонние SIEM системы.
  • Континент-АП + Сервер доступа 3.7 - Возможность поиска и фильтрации информации, формирования произвольных выборок по журналам

  • vGate 4.0 - Возможность обработки (поиска) событий безопасности

  • InfoWatch ARMA (Firewall, Endpoint, Management) - +
  • Astra Linux Special Edition РУСБ.10015-01 - Мониторинг (просмотр, анализ) результатов регистрации событий безопасности реализуется с использованием средств организации распределенного мониторинга сети и жизнеспособности и целостности серверов

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ИНЦ.3 Анализ компьютерных инцидентов

Наверх

Обратно к XII. Реагирование на компьютерные инциденты (ИНЦ)

ИНЦ.4 Устранение последствий компьютерных инцидентов

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Смешанное

Способы реализации:

  • рекомендуемые: Организационные меры, реализуемые путем выполнения положений внутренних руководящих документов.
  • возможные: Средства резервного копирования (СРК).

Возможности некоторых продуктов:

  • InfoWatch ARMA (Firewall, Endpoint, Management) - +

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ИНЦ.4 Устранение последствий компьютерных инцидентов

Наверх

Обратно к XII. Реагирование на компьютерные инциденты (ИНЦ)

ИНЦ.5 Принятие мер по предотвращению повторного возникновения компьютерных инцидентов

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Смешанное

Способы реализации:

  • рекомендуемые: Организационные меры, реализуемые путем выполнения положений внутренних руководящих документов.
  • возможные: Средства автоматизации процессов управления информационной безопасности.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ИНЦ.5 Принятие мер по предотвращению повторного возникновения компьютерных инцидентов

Наверх

Обратно к XII. Реагирование на компьютерные инциденты (ИНЦ)

ИНЦ.6 Хранение и защита информации о компьютерных инцидентах

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Смешанное

Способы реализации:

  • рекомендуемые: Организационные меры, реализуемые путем выполнения положений внутренних руководящих документов.
  • возможные: Средства автоматизации процессов управления информационной безопасности.

Возможности некоторых продуктов:

  • CL DATAPK - Реализация указанной меры включает в себя:
    • Управление доступом к БД;
    • Дублирование информации на уровнях иерархии;
    • Пересылка событий по иерархии.
  • Secret Net Studio 8.5 - Журналы Secret Net Studio
  • Secret Net Studio - C 8.5 - Журналы Secret Net Studio

  • Secret Net LSP 1.9 - архивирование, Контроль доступа к объектам файловой системы- защита журнала SN LSP

  • АПКШ Континент 3.7 - База данных ЦУС
  • Континент-АП + Сервер доступа 3.7 - журналы СД и АП
  • vGate 4.0 - Инциденты хранятся в базе vGate, к которой может иметь досутп только главный АИБ
  • InfoWatch Endpoint Security - +
  • InfoWatch Person Monitor - +
  • InfoWatch Traffic Monitor - +
  • InfoWatch ARMA (Firewall, Endpoint, Management) - +
  • Astra Linux Special Edition РУСБ.10015-01 - Защита информации о событиях безопасности реализуется монитором обращений в соответствии с реализованными правилами разграничения доступа к журналам аудита

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ИНЦ.6 Хранение и защита информации о компьютерных инцидентах

Наверх

Обратно к XII. Реагирование на компьютерные инциденты (ИНЦ)

XIII. Управление конфигурацией (УКФ)

Наверх

УКФ.0 Регламентация правил и процедур управления конфигурацией информационной (автоматизированной) системы

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Процедурное

Способ реализации: Организационные меры.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — УКФ.0 Разработка политики управления конфигурацией информационной (автоматизированной) системы

Наверх

Обратно к XIII. Управление конфигурацией (УКФ)

УКФ.1 Идентификация объектов управления конфигурацией

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Тип требования: Смешанное

Способ реализации: Организационные меры, реализуемые путем выполнения положений внутренних руководящих документов.

Возможности некоторых продуктов:

  • CL DATAPK - Объекты защиты DATAPK являются объектами управления конфигурацией. Для объектов защиты обеспечивается управление конфигурациями в части их контроля с использованием активного сбора данных.

  • vGate 4.0 - Идентификация объектов получающих доступ к виртуальной инфрастурктуре

  • Astra Linux Special Edition РУСБ.10015-01 - Идентификация управления конфигурацией осуществляется в соответствии с мерами ИАФ

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — УКФ.1 Идентификация объектов управления конфигурацией

Наверх

Обратно к XIII. Управление конфигурацией (УКФ)

УКФ.2 Управление изменениями

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Смешанное

Способы реализации:

  • рекомендуемые: Организационные меры, реализуемые путем выполнения положений внутренних руководящих документов.
  • возможные: Средства автоматизации процессов управления информационной безопасности.

Возможности некоторых продуктов:

  • CL DATAPK - Управление конфигурациями реализуется путем:
    • идентификации конфигурации АСУ ТП в широком смысле (состав узлов, потоков, конфигураций объектов защиты) и ее параметров;
    • привязки конфигураций к объектам защиты, контроля изменений;
    • возможностью управления статусом конфигураций (в т. ч. задания статуса эталонной конфигурации, легитимности узла или потока путем определения таких статусов из интерфейса CL DATAPK);
    • выявления факта несанкционированного изменения конфигурации;
    • реагирования на выявленный инцидент ИБ силами ответственных лиц.

  • vGate 4.0 - Централизованное управление vGate

  • Astra Linux Special Edition РУСБ.10015-01 - Управление изменениями осуществляется в соответствии с установленными правилами разграничения доступа, изменения учитываются при регистрации событий безопасности, связанных с этими изменениями

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — УКФ.2 Управление изменениями

Наверх

Обратно к XIII. Управление конфигурацией (УКФ)

УКФ.3 Установка (инсталляция) только разрешенного к использованию программного обеспечения

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Смешанное

Способы реализации:

  • рекомендуемые: Организационные меры, реализуемые путем выполнения положений внутренних руководящих документов.
  • возможные: СЗИ от НСД

Возможности некоторых продуктов:

  • CL DATAPK - Контроль списка установленного ПО. Включает в себя периодическое получение с объекта защиты информации об установленном на нем ПО с использованием активного сбора данных с объекта защиты и контроль за изменением получаемой информации (конфигурации).
  • Secret Net Studio 8.5 - Замкнутая программная среда
  • Secret Net Studio - C 8.5 - Замкнутая программная среда

  • Secret Net LSP 1.9 - Замкнутая программная среда

  • vGate 4.0 - whitelist на серверах виртуализации

  • InfoWatch ARMA (Firewall, Endpoint, Management) - +
  • Astra Linux Special Edition РУСБ.10015-01 - Задача управления установкой в информационную систему разрешенного программного обеспечения реализуется средствами регламентного контроля целостности устанавливаемого программного обеспечения в составе доверенного служебного репозитория с использованием хэш-функции или электронной цифровой подписи

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — УКФ.3 Установка (инсталляция) только разрешенного к использованию программного обеспечения

Наверх

Обратно к XIII. Управление конфигурацией (УКФ)

УКФ.4 Контроль действий по внесению изменений

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Тип требования: Смешанное

Способ реализации: Организационные меры, реализуемые путем выполнения положений внутренних руководящих документов.

Возможности некоторых продуктов:

  • CL DATAPK - Контроль изменения конфигураций. Включает в себя периодическое получение с объекта защиты конфигурации с использованием активного сбора данных и контроль за изменением получаемой конфигурации.

  • vGate 4.0 - контроль досутпа к объектам виртуальной инфрастурктуры

  • InfoWatch Person Monitor - +

  • Astra Linux Special Edition РУСБ.10015-01 - Контроль осуществляется путем анализа содержимого журналов регистрации событий безопасности

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — УКФ.4 Контроль действий по внесению изменений

Наверх

Обратно к XIII. Управление конфигурацией (УКФ)

XIV. Управление обновлениями программного обеспечения (ОПО)

Наверх

ОПО.0 Регламентация правил и процедур  управления обновлениями программного обеспечения

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Процедурное

Способ реализации: Организационные меры.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ОПО.0 Разработка политики управления обновлениями программного обеспечения

Наверх

Обратно к XIV. Управление обновлениями программного обеспечения (ОПО)

ОПО.1 Поиск, получение обновлений программного обеспечения от доверенного источника

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Смешанное

Способы реализации:

  • рекомендуемые: Организационные меры, реализуемые путем выполнения положений внутренних руководящих документов.
  • возможные: Использование репозиториев обновлений СЗИ и прикладного ПО производителей

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - -
  • Secret Net Studio - C 8.5 - -

  • Secret Net LSP 1.9 - -

  • Astra Linux Special Edition РУСБ.10015-01 - Источником обновлений Astra Linux Special Edition в соответствии с требованиями нормативных документов ФСТЭК России является официальный интернет-ресурс разработчика
  • UserGate - Наличие функциональной возможности, позволяющей уведомлять о выходе обновления для продукта и загрузки его с официального сайта производителя.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ОПО.1 Поиск, получение обновлений программного обеспечения от доверенного источника

Наверх

Обратно к XIV. Управление обновлениями программного обеспечения (ОПО)

ОПО.2 Контроль целостности обновлений программного обеспечения

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Смешанное

Способ реализации: Организационные меры, реализуемые путем выполнения положений внутренних руководящих документов.

Возможности некоторых продуктов:

  • ПАК “Соболь” 3.0.9 (M2) - Только в рамках контроля целостности до загрузки ОС

  • Соболь 4.2 - Только в рамках контроля целостности до загрузки ОС

  • InfoWatch Endpoint Security - +

  • Astra Linux Special Edition РУСБ.10015-01 - Контроль целостности обновлений Astra Linux Special Edition осуществляется проведением динамического контроля целостности файлов с использованием электронной цифровой подписи и регламентного контроля целостности с использованием функции хэширования

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ОПО.2 Контроль целостности обновлений программного обеспечения

Наверх

Обратно к XIV. Управление обновлениями программного обеспечения (ОПО)

ОПО.3 Тестирование обновлений программного обеспечения

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Смешанное

Способ реализации: Организационные меры, реализуемые путем выполнения положений внутренних руководящих документов.

Возможности некоторых продуктов:

  • ПАК “Соболь” 3.0.9 (M2) - технологический режим, только внутреннее тестирование

  • Соболь 4.2 - технологический режим, только внутреннее тестирование

  • Astra Linux Special Edition РУСБ.10015-01 - Контроль работоспособности встроенного комплекса средств защиты информации Astra Linux Special Edition осуществляется с помощью автоматического и регламентного тестирования функций безопасности

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ОПО.3 Тестирование обновлений программного обеспечения

Наверх

Обратно к XIV. Управление обновлениями программного обеспечения (ОПО)

ОПО.4 Установка обновлений программного обеспечения

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Смешанное

Способ реализации: Организационные меры, реализуемые путем выполнения положений внутренних руководящих документов.

Возможности некоторых продуктов:

  • CL DATAPK - Контроль списка установленного ПО, анализ уязвимостей. Реализация указанной меры включает в себя:
    • Периодическое получение с объекта защиты информации об установленном на нем ПО и его версии с использованием активного сбора данных с объекта защиты и контроль за изменением получаемой информации (конфигурации);
    • Контроль за обновлениями программного обеспечения в ходе сканирования защищенности объекта защиты. Получение результатов сканирования в виде информации об установленной версии ПО и рекомендаций по обновлению ПО для устранения уязвимости.
  • Secret Net Studio 8.5 - Возможность локального и централизованного обновления SNS
  • Secret Net Studio - C 8.5 - Возможность локального и централизованного обновления SNS
  • Secret Net LSP 1.9 - Возможность локального обновления SN LSP
  • ПАК “Соболь” 3.0.9 (M2) - процедура обновления кода расширения BIOS
  • Соболь 4.2 - процедура обновления кода расширения BIOS

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ОПО.4 Установка обновлений программного обеспечения

Наверх

Обратно к XIV. Управление обновлениями программного обеспечения (ОПО)

XV. Планирование мероприятий по обеспечению безопасности (ПЛН)

Наверх

ПЛН.0 Регламентация правил и процедур планирования мероприятий по обеспечению защиты информации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Процедурное

Способ реализации: Организационные меры.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ПЛН.0 Разработка политики планирования мероприятий по обеспечению защиты информации

Наверх

Обратно к XV. Планирование мероприятий по обеспечению безопасности (ПЛН)

ПЛН.1 Разработка, утверждение и актуализация плана мероприятий по обеспечению защиты информации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Процедурное

Способ реализации: Организационные меры.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ПЛН.1 Разработка, утверждение и актуализация плана мероприятий по обеспечению защиты информации

Наверх

Обратно к XV. Планирование мероприятий по обеспечению безопасности (ПЛН)

ПЛН.2 Контроль выполнения мероприятий по обеспечению защиты информации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Смешанное

Способы реализации:

  • рекомендуемые: Организационные меры.
  • возможные: Средства автоматизации процессов управления информационной безопасности. Средства анализа защищенности. Привлечение подрядных организаций.

Возможности некоторых продуктов:

  • CL DATAPK - Контроль устранения уязвимостей и контроль соответствия требованиям ИБ. Реализация указанной меры включает в себя:
    • Выполнение сканирования защищенности объектов защиты – активное взаимодействие с объектами защиты с целью выявления уязвимостей и способов их эксплуатации. Данный режим работы целесообразно применять только в режиме технического обслуживания АСУ ТП;
    • Формирование отчетов по результатам сканирования ОЗ на уязвимости, включающие список выявленных уязвимостей и рекомендации по устранению выявленных уязвимостей;
    • Формирование отчетов по результатам проверки конфигураций ОЗ на соответствие требованиям ИБ, включающий список выявленных несоответствий.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ПЛН.2 Контроль выполнения мероприятий по обеспечению защиты информации

Наверх

Обратно к XV. Планирование мероприятий по обеспечению безопасности (ПЛН)

XVI. Обеспечение действий в нештатных ситуациях (ДНС)

Наверх

ДНС.0 Регламентация правил и процедур обеспечения действий в нештатных  ситуациях

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Процедурное

Способ реализации: Организационные меры.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ДНС.0 Разработка политики обеспечения действий в нештатных ситуациях

Наверх

Обратно к XVI. Обеспечение действий в нештатных ситуациях (ДНС)

ДНС.1 Разработка плана действий в нештатных ситуациях

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Процедурное

Способ реализации: Организационные меры.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ДНС.1 Разработка плана действий в нештатных ситуациях

Наверх

Обратно к XVI. Обеспечение действий в нештатных ситуациях (ДНС)

ДНС.2 Обучение и отработка действий персонала в нештатных ситуациях

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Процедурное

Способ реализации: Организационные меры.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ДНС.2 Обучение и отработка действий персонала в нештатных ситуациях

Наверх

Обратно к XVI. Обеспечение действий в нештатных ситуациях (ДНС)

ДНС.3 Создание альтернативных мест хранения и обработки информации на случай возникновения нештатных ситуаций

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + +  

Тип требования: Процедурное

Способы реализации:

  • рекомендуемые: Организационные меры.
  • возможные: Средства резервного копирования (СРК).

Возможности некоторых продуктов:

  • InfoWatch Endpoint Security - +

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ДНС.3 Создание альтернативных мест хранения и обработки информации на случай возникновения нештатных ситуаций

Наверх

Обратно к XVI. Обеспечение действий в нештатных ситуациях (ДНС)

ДНС.4 Резервирование программного обеспечения, технических средств, каналов связи на случай возникновения нештатных  ситуаций

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + +  

Тип требования: Процедурное

Способы реализации:

  • рекомендуемые: Организационные меры.
  • возможные: Отказоустойчивые/катастрофоустойчивые конфигурации.

Возможности некоторых продуктов:

  • vGate 4.0 - Резервирование Сервера авторизации vGate

  • Astra Linux Special Edition РУСБ.10015-01 - Резервное копирование осуществляется с использованием специальных программ и утилит, позволяющих восстанавливать информацию и объекты файловой системы с сохранением их атрибутов безопасности и аудита

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ДНС.4 Резервирование программного обеспечения, технических средств, каналов связи на случай возникновения нештатных ситуаций

Наверх

Обратно к XVI. Обеспечение действий в нештатных ситуациях (ДНС)

ДНС.5 Обеспечение возможности восстановления информационной (автоматизированной) системы в случае возникновения нештатных ситуаций

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Процедурное

Способы реализации:

  • рекомендуемые: Организационные меры.
  • возможные: Отказоустойчивые/катастрофоустойчивые конфигурации. Средства резервного копирования (СРК).

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Шаблоны политик. Резервирование серверов безопасности. Функция исправления на клиентах. Возможность восстановления объектов при нарушении целостности

  • Secret Net Studio - C 8.5 - Шаблоны политик. Резервирование серверов безопасности. Функция исправления на клиентах. Возможность восстановления объектов при нарушении целостности

  • ПАК “Соболь” 3.0.9 (M2) - переинициализация, экспорт/импорт модели данных
  • Соболь 4.2 - переинициализация, экспорт/импорт модели данных
  • АПКШ Континент 3.7 - Экспорт/импорт настроек ЦУС. Процедура восстановления путем переустановки ПО
  • Континент-АП + Сервер доступа 3.7 - Процедура восстановления путем переустановки ПО

  • vGate 4.0 - Импорт/экспорт конфигурации, импорт/экспорт базы

  • Astra Linux Special Edition РУСБ.10015-01 - В целях обеспечения возможности восстановления работоспособности системы используется режима восстановления и средств резервного копирования

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ДНС.5 Обеспечение возможности восстановления информационной (автоматизированной) системы в случае возникновения нештатных ситуаций

Наверх

Обратно к XVI. Обеспечение действий в нештатных ситуациях (ДНС)

ДНС.6 Анализ возникших нештатных ситуаций и принятие мер по недопущению их повторного возникновения

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Тип требования: Процедурное

Способы реализации:

  • рекомендуемые: Организационные меры.
  • возможные: Средства автоматизации процессов управления информационной безопасности.

Возможности некоторых продуктов:

  • InfoWatch ARMA (Firewall, Endpoint, Management) - +

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ДНС.6 Анализ возникших нештатных ситуаций и принятие мер по недопущению их повторного возникновения

Наверх

Обратно к XVI. Обеспечение действий в нештатных ситуациях (ДНС)

XVII. Информирование и обучение персонала (ИПО)

Наверх

ИПО.0 Регламентация правил и процедур информирования и обучения персонала

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Процедурное

Способ реализации: Организационные меры.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ИПО.0 Разработка политики информирования и обучения персонала

Наверх

Обратно к XVII. Информирование и обучение персонала (ИПО)

ИПО.1 Информирование персонала об угрозах безопасности информации и о правилах безопасной работы

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Процедурное

Способы реализации:

  • рекомендуемые: Организационные меры.
  • возможные: Средства автоматизации процессов управления информационной безопасности.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ИПО.1 Информирование персонала об угрозах безопасности информации и о правилах безопасной работы

Наверх

Обратно к XVII. Информирование и обучение персонала (ИПО)

ИПО.2 Обучение персонала правилам безопасной работы

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Процедурное

Способ реализации: Организационные меры.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ИПО.2 Обучение персонала правилам безопасной работы

Наверх

Обратно к XVII. Информирование и обучение персонала (ИПО)

ИПО.3 Проведение практических занятий с персоналом по правилам безопасной работы

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + +  

Тип требования: Процедурное

Способ реализации: Организационные меры.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ИПО.3 Проведение практических занятий с персоналом по правилам безопасной работы

Наверх

Обратно к XVII. Информирование и обучение персонала (ИПО)

ИПО.4 Контроль осведомленности персонала об угрозах безопасности информации и о правилах безопасной работы

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Процедурное

Способы реализации:

  • рекомендуемые: Организационные меры.
  • возможные: Привлечение подрядных организаций.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ИПО.4 Контроль осведомленности персонала об угрозах безопасности информации и о правилах безопасной работы

Наверх

Обратно к XVII. Информирование и обучение персонала (ИПО)