Реализация мер защиты информации
Перечень мер защиты информации, реализуемых Изделием в соответствии с документами:
- «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (утвержденные приказом ФСТЭК России от 11 февраля 2013 г. № 17)
- «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (утвержденные приказом ФСТЭК России от 18 февраля 2013 г. № 21)
- в системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, до 1 класса защищенности включительно (Приказ ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»)
- при защите значимых объектов критической информационной инфраструктуры до первой категории включительно (Приказ ФСТЭК от 25 декабря 2017 г № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»)
приведён в таблице ниже.
| № пп. | Условное обозначение мер, согласно приказам ФСТЭК России № 17 1, № 21 2, №31 3, №239 4 | Описание ФБО |
|---|---|---|
| 1 | ИАФ.1 1 2 3 4 | СЗИ осуществляет однозначную идентификацию и аутентификацию пользователей по идентификатору (логину) и условно-постоянному паролю. При удаленных запросах на доступ администратора идентификация и аутентификация обеспечиваться методами, устойчивыми к пассивному и активному перехвату информации. |
| 2 | ИАФ.3 1 2 3 4 | СЗИ обеспечивает возможность создания, и уничтожения идентификаторов, который однозначно идентифицирует пользователя/устройство, в формате предусмотренном Изделием, в целях идентификации пользователей. |
| 3 | ИАФ.4 1 2 3 4 | СЗИ обеспечивает возможность управления администратором Изделия средствами аутентификации (создание, удаление, блокировка). Длина пароля не менее 10 символов. Пароль должен содержать как минимум 1 букву в нижнем регистре 1 букву в верхнем регистре, одну цифру, не был словарным словом и/или содержать словарные фразы, содержать не менее 5 различных символов, не содержать большого числа пар символов, идущих подряд в алфавите. Настраивается срок действия пароля, максимальный период действия пароля пользователя. |
| 4 | ИАФ.5 1 2 | СЗИ обеспечивает отображение условного знака "*" и/или не отображение никаких символов, во всех формах ввода аутентификационной информации. Количество знаков типа "*" (там где это технически возможно)соответствует количеству введенных символов. |
| 5 | УПД.1 1 2 3 4 | СЗИ обеспечивает возможность определения учетной записи пользователя (согласно ролевой модели: администратор, оператор), заведения, активации, блокирования и уничтожение учетных записей пользователей администратором Изделия. |
| 6 | УПД.2 1 2 3 4 | СЗИ обеспечивает реализацию ролевой модели доступа. Определены оператор СЗИ и администратор СЗИ. |
| 7 | УПД.3 1 2 | СЗИ, являясь программно-техническим межсетевым экранам обеспечивает: фильтрацию на сетевом уровне: решение по фильтрации может приниматься независимо для каждого сетевого пакета или с учетом состояния сетевого соединения. фильтрацию на основании любых значимых полей сетевых пакетов, в том числе: на основе сетевых адресов отправителя и получателя; на основе mac-адресов; на основе используемого сетевого протокола; на основе полей DSCP, ECN, TTL протокола IP и иных; на основе меток виртуальных локальных сетей (vlan, 802.1q); на основе мандатных меток сетевого трафика MLS/MCS (RFC 1108); на основе портов и(или) других атрибутов протоколов транспортного уровня; на основе размера и состояния фрагментации сетевого пакета. фильтрацию пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств. фильтрацию с учетом входного и выходного сетевого интерфейса, включая проверки подлинности сетевых адресов. фильтрацию на прикладном уровне запросов к прикладным сервисам с учетом прикладных адресов отправителя и получателя. трансляцию сетевых адресов. фильтрацию с учётом даты/времени. дистанционное управление компонентами МЭ, в том числе возможность конфигурирования фильтров, проверки согласованности всех фильтров, анализ регистрационной информации. динамическую маршрутизацию с поддержкой протоколов RIP, OSPF, BGP. функционирование в режиме маршрутизации. статическую маршрутизацию маршрутизацию на основании политик (Policy-Based Routing). множественные таблицы маршрутизации – резервирование каналов и балансировка нагрузки. маршрутизацию многоадресных передач. построение туннелей (с применением протоколов GRE, IP-IP, SIT). агрегацию (объединение) сетевых интерфейсов (в том числе статическое или с применением протокола LACP). ретрансляцию DHCP запросов (DHCP-relay). модификацию сетевого трафика в соответствии с заданными политиками. клонирование сетевого трафика в соответствии с заданными политиками. трансляцию сетевых адресов и портов (NAT/PAT). |
| 8 | УПД.4 1 2 3 4 | СЗИ обеспечивает реализацию ролевой модели доступа. Определены оператор СЗИ и администратор СЗИ. |
| 9 | УПД.7 1 2 3 4 | СЗИ обеспечивает возможность настройки и вывода информации пользователю при его входе в СЗИ до процесса идентификации и аутентификации. |
| 10 | УПД.8 1 2 3 4 | СЗИ обеспечивает возможность вывода и просмотра информации о дате и времени предыдущего входа в СЗИ. |
| 11 | УПД.10 1 2 3 4 | СЗИ обеспечивает возможность настройки времени блокирования сеанса доступа в СЗИ после истечения установленного времени неактивности пользователя и/или по его запросу. |
| 12 | УПД.11 1 2 3 4 | СЗИ обеспечивает запрет любых действий до прохождения успешно процедуры идентификации и аутентификации в СЗИ. |
| 13 | УПД.12 1 2 3 4 | СЗИ обеспечивает возможность администратору СЗИ назначить/модифицировать/удалить атрибуты безопасности для отдельных команд (последовательности отдельных команд) используемых пользователями; использования сетевых ресурсов, содержащих отдельные типы мобильного кода; для прикладного программного обеспечения (приложений). |
| 14 | УПД.13 1 2 3 4 | СЗИ обеспечивает защищенный удаленный доступ пользователя к СЗИ (в том числе с применением СКЗИ «МагПро КриптоПакет версия 4.0»). Также доступ осуществляется по защищенным протоколам: ssh, ssl (+ telnet). |
| 15 | УПД.16 1 2 | СЗИ обеспечивает возможность взаимодействия с другими СЗИ с помощью протокола ICAP. |
| 16 | АУД.3 3 4 | СЗИ обеспечивает генерирование временных меток и синхронизация системного времени, в том числе возможность генерации надежных меток времени; возможность синхронизации внутреннего времени с внешними источниками меток времени; возможность обеспечения надежных меток времени при проведении аудита. |
| 17 | АУД.4 3 4 | СЗИ обеспечивает регистрацию событий безопасности событий безопасности, в том числе: регистрацию и учет фильтруемых пакетов; дистанционную сигнализацию попыток нарушения правил фильтрации; регистрацию и учет запрашиваемых сервисов прикладного уровня; регистрацию входа (выхода) администратора МЭ в систему (из системы) либо загрузки и инициализации системы и ее программного останова. Регистрация выхода из системы не производится в моменты аппаратного отключения МЭ; регистрацию запуска программ и процессов (заданий, задач). |
| 18 | АУД.5 3 4 | СЗИ обеспечивает возможность просмотра/выгрузки журнала аудита администратором для дальнейшей работы с ним. Возможна настраиваемая реакция на события безопасности. |
| 19 | АУД.6 3 4 | Данная функциональность обеспечивается ролевой политикой разграничения доступа. Доступ к записям аудита имеют только администратор и оператор, успешно прошедшие процедуру идентификации и аутентификации. Доступ к функциям управления механизмами аудита имеет только администратор. |
| 20 | АУД.8 3 4 | СЗИ обеспечивает контроль целостности журнала аудита. Журнал аудита может удалять определенные записи при заполнении файловой системы, в которой он находится более чем на 90%. |
| 21 | АУД.9 3 4 | СЗИ обеспечивает регистрацию в журнал аудита информации в виде, позволяющем легко воспринимать информацию, за счет возможности сортировки данных аудита по дате и времени, идентификаторе субъекта, типе события, результате события. |
| 22 | РСБ.2 1 2 | В СЗИ задан статичный набор регистрируемых в журнал аудита событий безопасности. Количество возможных для регистрации событий безопасности достаточен для проведения аудита работы СЗИ и пользователей в СЗИ. Каждая регистрационная запись имеет обязательные параметры: дата-время-тип события-идентификатор субъекта-результат события |
| 23 | РСБ.3 1 2 | СЗИ обеспечивает регистрацию событий безопасности событий безопасности, в том числе: регистрацию и учет фильтруемых пакетов; дистанционную сигнализацию попыток нарушения правил фильтрации; регистрацию и учет запрашиваемых сервисов прикладного уровня; регистрацию входа (выхода) администратора МЭ в систему (из системы) либо загрузки и инициализации системы и ее программного останова. Регистрация выхода из системы не производится в моменты аппаратного отключения МЭ; регистрацию запуска программ и процессов (заданий, задач). |
| 24 | РСБ.4 1 2 | СЗИ обеспечивает контроль целостности журнала аудита. Журнал аудита может удалять определенные записи при заполнении файловой системы, в которой он находится более чем на 90%. |
| 25 | РСБ.5 1 2 | СЗИ обеспечивает возможность просмотра/выгрузки журнала аудита администратором для дальнейшей работы с ним. Возможна настраиваемая реакция на события безопасности. |
| 26 | РСБ.6 1 2 | СЗИ обеспечивает генерирование временных меток и синхронизация системного времени, в том числе возможность генерации надежных меток времени; возможность синхронизации внутреннего времени с внешними источниками меток времени; возможность обеспечения надежных меток времени при проведении аудита. |
| 27 | РСБ.7 1 2 | СЗИ за счет ролевой политикой разграничения доступа обеспечивает доступ к записям аудита только администраторам и аудиторам, который прошли успешно идентификацию и аутентификацию. Доступ к функциям управления механизмами аудита имеет только администратор |
| 28 | РСБ.8 1 | СЗИ обеспечивает регистрацию в журнал аудита информации в виде, позволяющем легко воспринимать информацию, за счет возможности сортировки данных аудита по дате и времени, идентификаторе субъекта, типе события, результате события. |
| 29 | АНЗ.3 1 2 | СЗИ осуществляет контроль целостности самого Изделия, конфигурационных файлов СЗИ в момент каждого запуск СЗИ, периодически, а также по запросу администратора СЗИ. |
| 30 | АНЗ.5 1 2 | СЗИ обеспечивает блокировку учетной записи (предварительно настаиваемый администратором параметр), срок действия пароля. Дополнительно СЗИ обеспечивает возможность информирования пользователя о сроке истечения срока действия пароля. Все события смены пароля также регистрируются в журнале аудита СЗИ. |
| 31 | ОЦЛ.1 1 2 3 4 | СЗИ осуществляет контроль целостности самого Изделия, конфигурационных файлов СЗИ в момент каждого запуск СЗИ, периодически, а также по запросу администратора СЗИ путем контрольного суммирования и сравнения полученного значения с эталонным. |
| 32 | ОЦЛ.2 1 2 3 4 | СЗИ обеспечивает контроль целостности ПО СЗИ, а также неизменность ПО СЗИ. При этом: целостность проверяется при загрузке системы по контрольным суммам компонент СЗИ; целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации; СЗИ предусматривает процедуры восстановления после сбоев и отказов оборудования, которые обеспечивают полное и оперативное восстановление свойств. |
| 33 | ОЦЛ.3 1 2 | СЗИ оперативное восстановление свойств СЗИ после сбоев и отказов оборудования при отключения веб-сервера, ftp-прокси, socks-proxy, несовпадении контрольных сумм файлов конфигураций СЗИ, исполняемых файлов. Использование при резервировании нескольких каналов передачи данных. |
| 34 | ОЦЛ.5 3 4 | СЗИ обеспечивает регистрацию в журнал аудита заявленных разработчиком ошибок, вывод в консоль ошибок в синтаксисе. |
| 35 | ОЦЛ.8 1 2 | СЗИ обеспечивает регистрацию в журнал аудита заявленных разработчиком ошибок, вывод в консоль ошибок в синтаксисе. |
| 36 | ОДТ.2 1 2 3 4 | СЗИ обеспечивает создание резервных копий при сбоях. Возможность использования нескольких каналов передачи данных при резервировании. СЗИ гарантирует ручное восстановление из резервных копий. |
| 37 | ОДТ.4 3 4 | СЗИ обеспечивает создание резервных копий при сбоях. Возможность использования нескольких каналов передачи данных при резервировании. СЗИ гарантирует ручное восстановление из резервных копий. |
| 38 | ОДТ.5 3 4 | СЗИ гарантирует ручное восстановление из резервных копий. |
| 39 | ОДТ.6 1 | СЗИ обеспечивает создание кластеров Active-passive, Active-standby. Изделие поддерживает протокол VRRP. |
| 40 | ОДТ.6 3 4 | СЗИ обеспечивает создание резервных копий при сбоях. Возможность использования нескольких каналов передачи данных при резервировании. СЗИ гарантирует ручное восстановление из резервных копий. |
| 41 | ОДТ.7 3 4 | СЗИ обеспечивает создание кластеров Active-passive, Active-standby. Изделие поддерживает протокол VRRP. |
| 42 | ЗИС.2 1 2 | Изделие обеспечивает возможность приоритезации контроля и фильтрации разных информационных потоков, а также выделения ресурсов, доступных для разных информационных потоков, обрабатываемых одновременно (в течение определенного периода времени). |
| 43 | ЗИС.4 1 2 | СЗИ обеспечивает доверенный канал, маршрут между администратором, пользователем и средствами защиты информации, в том числе с помощью протоколов ssh, ssl (+ telnet), также за счет использования СКЗИ «МагПро КриптоПакет» версия 4.0. |
| 44 | ЗИС.4 3 4 | СЗИ обеспечивает возможность разбиения информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы. |
| 45 | ЗИС.6 3 4 | Управление сетевыми потоками |
| 46 | ЗИС.10 1 2 | СЗИ обеспечивает подтверждение происхождения источника информации, получаемой в процессе определения сетевых адресов по сетевым именам или определения сетевых имен по сетевым адресам. |
| 47 | ЗИС.11 1 2 | СЗИ обеспечивает подлинность сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов. |
| 48 | ЗИС.17 1 2 | СЗИ обеспечивает разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы. |
| 49 | ЗИС.23 1 2 | СЗИ обеспечивает защиту периметра (физических и (или) логических границ) информационной системы при ее взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями. |
| 50 | ЗИС.24 1 | СЗИ обеспечивает прекращение сетевых соединений по их завершении или по истечении заданного оператором временного интервала неактивности сетевого соединения. |
| 51 | ЗИС.29 1 | СЗИ обеспечивает создание резервных копий при сбоях. Возможность использования нескольких каналов передачи данных при резервировании. СЗИ гарантирует ручное восстановление из резервных копий. |