Верхнее

ЧаВо Archive

[01-06] ИАФ.6 Двусторонняя аутентификация

Для каких категорий значимости установлено: —

Тип требования: Функциональное

Способы реализации

  • рекомендуемые: Встроенные механизмы обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: системы управления учётными данными и доступом ( IAM)

Возможности некоторых продуктов:

  • DATAPK — В случае, если реализация требования зависит от настроек системного или прикладного программного обеспечения, DATAPK может использоваться для автоматизации контроля его выполнения, также реализовано в части доступа к DATAPK
  • Secret Net Studio 8.2 — Межсетевой экран, авторизация соединений
  • АПКШ Континент 3.7 — Межсетевой экран, авторизация соединений
  • Континент-АП + Сервер доступа 3.7 — Межсетевой экран, авторизация соединений
  • vGate 4.0 — Двусторонняя аутентификация клиентов и СА

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ИАФ.6 Двусторонняя аутентификация
Continue Reading

[01-07] ИАФ.7 Защита аутентификационной информации при передаче

Для каких категорий значимости установлено321

Тип требования: Функциональное

Способы реализации

  • рекомендуемые: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: системы управления учётными данными и доступом ( IAM)

Возможности некоторых продуктов:

  • DATAPK — В случае, если реализация требования зависит от настроек системного или прикладного программного обеспечения, DATAPK может использоваться для автоматизации контроля его выполнения, также реализовано в части доступа к DATAPK
  • Secret Net Studio 8.2 — Сокрытие вводимой парольной информации и информации для доступа к памяти ЭИ. 
    Защита от перехвата пароля при сетевых обращениях
  • АПКШ Континент 3.7 — Шифрованный канал
  • Континент-АП + Сервер доступа 3.7 — Шифрованный канал
    Сокрытие вводимой парольной информации. 
  • vGate 4.0 — Сокрытие вводимой парольной информации, защита от перехвата вводимого пароля, кодированный канал при сетевой аутентификации
  • Соболь 3.0 — Продукт выполняет требование
  • InfoWatch Endpoint Security — Шифрование

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ИАФ.7 Защита аутентификационной информации при передаче
Continue Reading

[01-02] ИАФ.2 Идентификация и аутентификация устройств

Для каких категорий значимости установлено321

Тип требования: Функциональное

Способы реализации

  • рекомендуемые: Встроенные механизмы обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: СЗИ от НСД, система мониторинга, межсетевой экран

Возможности некоторых продуктов:

  • DATAPK — в DATAPK реализована идентификация устройств (функция инвентаризации), подключенных к сети и подключенных к рабочим местам, серверам и другим узлам сети
  • Secret Net Studio 8.2 — Идентификация компьютеров, съемных машинных носителей информации
  • АПКШ Континент 3.7 — Криптографические метки: ID КШ, наличие ключа
  • Континент-АП + Сервер доступа 3.7 — Континент-АП аутентифицируется на конкретном устройстве — сервере доступа (использование сертификата СД)
  • vGate 4.0 — Аутентификация ESXi, vCenter, Hyper-V внешних серверов и АРМов
  • InfoWatch Endpoint Security и InfoWatch Traffic Monitor (модуль Device Monitor) — Ограничение возможности использования устройств
  • InfoWatch ARMA Industrial Firewall — Использование портала авторизации, идентификации устройств по IP- и MAC-адресам

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — ИАФ.2 Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных
  • Приказ 21 — ИАФ.2 Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных
  • Приказ 31 — ИАФ.2 Идентификация и аутентификация устройств

Continue Reading

[01-03] ИАФ.3 Управление идентификаторами

Для каких категорий значимости установлено321

Тип требования: Функциональное

Способы реализации

  • рекомендуемые: Встроенные механизмы обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п. — управление идентификаторами пользователей или служебными идентификаторами субъектов доступа (процессов, устройств)
  • возможные: СЗИ от НСД, системы управления учётными данными и доступом (IAM), межсетевые экраны (МЭ, FW)

Возможности некоторых продуктов:

  • DATAPK — DATAPK позволяет создавать, присваивать, изменять или уничтожать идентификаторы рабочих мест, серверов, программируемых логических контроллеров и другим узлам сети АСУ ТП, обнаруженным в ходе инвентаризации
  • Secret Net Studio 8.2 — Управление учетными записями, присвоение аппаратных средств аутентификации
  • АПКШ Континент 3.7 — ЦУС — управление КШ (создание КШ, удаление КШ, присвоение ID)
  • Континент-АП + Сервер доступа 3.7 — Управление учетными записями на СД. Идентификатор-имя учетной записи.
  • vGate 4.0 — Управление пользователями и электронными идентификаторами (eToken PRO, eToken PRO Java (USB, смарт-карта), JaCarta)
  • Соболь 3.0 — Продукт выполняет требование
  • InfoWatch Endpoint Security и InfoWatch Traffic Monitor (модуль Device Monitor) — Ограничение возможности использования устройств
  • InfoWatch ARMA Industrial Firewall — В случае использования портала авторизации для внешних по отношению к АСУ пользователей возможно управление идентификаторами

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — ИАФ.3 Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов
  • Приказ 21 — ИАФ.3 Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов
  • Приказ 31 — ИАФ.3 Управление идентификаторами
Continue Reading

[01-04] ИАФ.4 Управление средствами аутентификации

Для каких категорий значимости установлено321

Тип требования: Функциональное

Способы реализации

  • рекомендуемые: Управление средствами аутентификации осуществляется с помощью встроенных механизмов обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: службы каталога, системы управления жизненным циклом сертификатов открытого ключа, СЗИ от НСД

Возможности некоторых продуктов:

  • DATAPK — реализовано в части доступа к DATAPK
  • Secret Net Studio 8.2 — Управление паролями, назначение аппаратных средств аутентификации. Интеграция с JaCarta Management System
  • АПКШ Континент 3.7 — АРМ ГК-работа с носителями и ключами
    ЦУС- криптографическая аутентификация КШ
  • Континент-АП + Сервер доступа 3.7 — Работа с ключами, сертификат и закрытый ключ отзыв сертификата
  • vGate 4.0 — В рамках поддержки электронных идентификаторов
  • Соболь 3.0 — Продукт выполняет требование

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — ИАФ.4 Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации
  • Приказ 21 — ИАФ.4 Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации
  • Приказ 31 — ИАФ.4 Управление средствами аутентификации
Continue Reading

[01-05] ИАФ.5 Идентификация и аутентификация внешних пользователей

Для каких категорий значимости установлено321

Тип требования: Функциональное

Способы реализации

  • рекомендуемые: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: системы управления учётными данными и доступом ( IAM)

Возможности некоторых продуктов:

  • DATAPK — В случае, если реализация требования зависит от настроек системного или прикладного программного обеспечения, DATAPK может использоваться для автоматизации контроля его выполнения, также реализовано в части доступа к DATAPK
  • InfoWatch Traffic Monitor — Поддержка протоколов LDAP/OpenLDAP

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — ИАФ.6 Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)
  • Приказ 21 — ИАФ.6 Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)
  • Приказ 31 — ИАФ.5 Идентификация и аутентификация внешних пользователей
Continue Reading

[02-00] УПД.0 Регламентация правил и процедур управления доступом

Для каких категорий значимости установлено321

Тип требования: Процедурное

Способ реализации: Организационные мероприятия

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — УПД.0 Разработка политики управления доступом

Continue Reading

[01-01] ИАФ.1 Идентификация и аутентификация пользователей и инициируемых ими процессов

Для каких категорий значимости установлено: 3, 2, 1

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Встроенные механизмы обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: СЗИ от НСД, система мониторинга

Возможности некоторых продуктов:

  • DATAPK — В части доступа к DATAPK, также может быть использован для автоматизированного контроля реализации требования
  • Secret Net Studio 8.2 — Возможность входа пользователей в систему, как по логину/паролю, так и с использованием аппаратных средств усиленной аутентификации. Стандартная аутентификация, усиленная аутентификация по ключу, усиленная аутентификация по паролю
  • АПКШ Континент 3.7 — Аутентификация пользователей через «клиента аутентификации пользователя». 
  • Континент-АП + Сервер доступа 3.7 — Аутентификация на асимметричных ключах. Аутентификация до WinLogona.
  • vGate 4.0 — Идентификация/аутентификация пользователей, поддержка электронных идентификаторов. 
  • Соболь 3.0 — Продукт выполняет требование
  • InfoWatch Endpoint Security — Разграничение прав доступа пользователей к файлам
  • InfoWatch Person Monitor — Контроль инициируемых пользователями процессов

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — ИАФ.1 Идентификация и аутентификация пользователей, являющихся работниками оператора
  • Приказ 21 — ИАФ.1 Идентификация и аутентификация пользователей, являющихся работниками оператора
  • Приказ 31 — ИАФ.1 Идентификация и аутентификация пользователей и инициируемых ими процессов
Continue Reading

[01-00] ИАФ.0 Регламентация правил и процедур идентификации и аутентификации

Для каких категорий значимости установлено: 3, 2, 1

Тип требования: Процедурное

Способ реализации: Организационные мероприятия

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ИАФ.0 Разработка политики идентификации и аутентификации

Continue Reading

Как корректно посчитать показатель 9 из перечня показателей критериев значимости (ущерб бюджетам РФ)?

В Постановлении Правительства РФ №127 от 08.02.2018 (ред.13.04.2019) «Об утверждении Правил категорирования объектов КИИ РФ, а также перечня показателей критериев значимости объектов КИИ РФ и их значений» в качестве одного из показателей (9) указано следующее:

Возникновение ущерба бюджетам Российской Федерации, оцениваемого в снижении выплат (отчислений) в бюджеты Российской Федерации, осуществляемых субъектом критической информационной инфраструктуры (процентов прогнозируемого годового дохода федерального бюджета, усредненного за планируемый 3-летний период):

III категория значимости — более 0,001, но менее или равно 0,05;

II категория значимости — более 0,05, но менее или равно 0,1;

I категория значимости — более 0,1.

Важно: Приведенные ниже в примере суммы и проценты необходимо актуализировать с учётом данных, действительных на момент расчёта. Так, например, 18 июня 2019 года были внесены изменения в закон о федеральном бюджете на 2019 год и на плановый период 2020 и 2021 годов.

Приведенные ниже примеры необходимо актуализировать с учётом сумм, действительных на момент расчёта. Так, например, 18 июня 2019 года были внесены изменения в закон о федеральном бюджете на 2019 год и на плановый период 2020 и 2021 годов.

Для корректного подсчёта необходимо:

  1. Определить усреднённый за трёхлетний период прогнозируемый годовой доход федерального бюджета.
    • Для 2019-21 годов данные представлены на сайте Министерства Финансов РФ:
      • 2019 год — 19 969,3 млрд. руб.
      • 2020 год — 20 218,6 млрд. руб.
      • 2021 год — 20 978,0 млрд. руб
      • Усреднённый бюджет 2019-21 годов — 20 388,65 млрд. руб.
      • Точный размер 0,001% (нижняя граница для III категории) составит — 203 886 510 руб.
  2. Рассчитать выплаты (отчисления) в бюджеты Российской Федерации (всех уровней), которые не будут произведены в случае возникновения компьютерных инцидентов на объекте критической информационной инфраструктуры.
    • При этом, согласно п. 14(1) ПП-127:
      должны быть рассмотрены наихудшие сценарии, учитывающие проведение целенаправленных компьютерных атак на объекты критической информационной инфраструктуры, результатом которых являются прекращение или нарушение выполнения критических процессов и нанесение максимально возможного ущерба.
    • На практике расчёт можно производить, ориентируясь на максимальную сумму недополученной прибыли и проценты отчислений (данные ниже приведены для примера) в бюджеты РФ:
      • Сумма недополученной прибыли, руб. — 500 000 000;
      • Налог на прибыль в Федеральный бюджет (3%), руб — 15 000 000;
      • Налог на прибыль в бюджет субъекта РФ (17%), руб — 85 000 000;
      • Налог на добавленную стоимость (НДС, 20%), руб — 100 000 000;
      • Общая сумма налоговых платежей, руб — 200 000 000.
  3. Разделить сумму, полученную в п.2 на число, полученное в п.1
    • Для вышеприведённого примера получим: 200 000 000 руб / 20 388,65 млрд. руб. = 0,00098%
  4. Сравнить полученный в п.3 процент с показателями из ПП-127 и определить категорию объекта КИИ:
    • 0,00098% < 0,001%, поэтому по данному показателю рассмотренному в примере объекту категория значимости не присваивается.
Continue Reading