Карточка защитной меры

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Утверждение Регламента защиты информационной (автоматизированной) системы и ее компонентов

2 1 29

Цель: определение порядка защиты информационной системы и компонентов в:

значимых объектах критической информационной инфраструктуры (ЗОКИИ) с установленной категорией значимости 1 или 2;
объектах критической информационной инфраструктуры (ОКИИ), не отнесенным к значимым объектам и в отношении которых принято решение о применении требований по обеспечению безопасности, предусмотренных для значимых объектов критической информационной инфраструктуры.

Регламент устанавливает:

основные требования к защите информационных систем;
разделение функций в информационных системах;
реализация защиты сетевого периметра включая физическую и логическую границы;
реализация защиты, предполагающую многоуровневую систему безопасности для предотвращения компьютерных атак ;
организацию демилитаризованной зоны для безопасного взаимодействия с внешними сетями и системами;

Рекомендации к заполнению карточки:

Приложите скан-копию Регламента в Реестр документов по защите информации (в модуле активов SECURITM). Укажите созданный актив в качестве инструмента к данной защитной мере.

Область действия: Вся организация

Классификация

Тип

Организационная

Реализация

Вручную

Периодичность

Разово

Ответственный

Не определено

Инструменты

Не определено

Для просмотра файла необходимо авторизоваться!

Регламент защиты информационной автоматизированной системы и ее компонентов.docx

Цепочка мер

Внедрение средств межсетевого экранирования на границе сети (firewall)

Утверждение Регламента защиты информационной (автоматизированной) системы и ее компонентов

Предшествующие меры

№	Этап -1
1					Внедрение средств межсетевого экранирования на границе сети (firewall)

Ресурсная оценка

	Качественная оценка			Количественная оценка		Итоговая оценка
	Стоимость	Трудозатраты	Сложность	Стоимость, тыс. руб	Трудозатраты, дней/ год	Итоговая оценка
CAPEX ^?	Отсутствует	Низкие	Низкая	0	1	4 - Низкая
OPEX ^?	Отсутствует	Низкие	Низкая	0	1	4 - Низкая

Связанные риски

Риск	Связи
Нарушение требований законодательства в области КИИ из-за отсутствия требуемых законодательством форм и документов в объекте критической информационной инфраструктуры Право	21

Заметки

SECURITM

4 месяца назад

Community

Регламент защиты информационной (автоматизированной) системы и ее компонентов в [наименование организации]

1. Общие сведения

1.1. Настоящий Регламент разработан с учетом положений следующих документов:

Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
Федеральный закон от 7 июля 2003 г. № 126-ФЗ «О связи».
Приказ ФСТЭК России от 21 декабря 2017 г. № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования».
Приказ ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
ГОСТ Р 50922–2006 «Защита информации. Основные термины и определения».
ГОСТ 24402-88 «Телеобработка данных и вычислительные сети. Термины и определения».

1.2. Целью разработки данного Регламента является установление [наименование организации] общих правил, требований и процедур защиты информационных (автоматизированных) систем и их компонентов при разработке, внедрении и совершенствовании подсистем безопасности:

значимых объектов критической информационной инфраструктуры (далее – ЗОКИИ);
объектов критической информационной инфраструктуры, не отнесенных к значимым объектам и в отношении которых [наименование должности руководителя организации, наименование организации] принято решение о применении требований по обеспечению безопасности, предусмотренных для значимых объектов критической информационной инфраструктуры (далее – ОКИИ).

1.3. Настоящий Регламент предназначен для сотрудников [наименование организации], включенных в состав сил обеспечения безопасности ЗОКИИ и ОКИИ.

2. Термины и определения

2.1. Термины и определения, применяемые для целей настоящего регламента:

Взаимосвязь открытых систем – совокупность принципов организации взаимодействия между открытыми системами обработки данных в соответствии со стандартами Международной организации по стандартизации.
Демилитаризованная зона – экранированный сегмент информационной системы, размещенный на ее внешней границе и выполняющий функции «нейтральной зоны» (буферной зоны безопасности) между защищаемой информационной системой оператора и внешней информационной системой или информационно-телекоммуникационной сетью.
Доверенный канал – механизм взаимодействия между средствами защиты информационной системы или между средством защиты информации и программным обеспечением информационной системы.
Доверенный маршрут – механизм взаимодействия между субъектом доступа и средством защиты информации информационной системы.
Звено данных – совокупность канала передачи данных и компонентов оконечного оборудования данных, управляемых протоколом уровня звена данных.
Значимый объект критической информационной инфраструктуры – объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры.
Критическая информационная инфраструктура (КИИ) – объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов.
Локальный доступ – доступ субъектов доступа к объектам доступа, осуществляемый непосредственно через подключение (доступ) к компоненту информационной системы или через локальную вычислительную сеть (без использования информационно-телекоммуникационной сети).
Несанкционированный доступ (НСД) – доступ к информации или к ресурсам автоматизированной информационной системы, осуществляемый с нарушением установленных прав и (или) правил доступа.
Обмен данными – передача данных между логическими объектами уровня в соответствии с установленным протоколом.
Объекты критической информационной инфраструктуры – информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления.
Отказ в обслуживании – прекращение санкционированного доступа к ресурсам системы или задержка операций и функций системы, приводящие в итоге к потере доступности для авторизованных пользователей.
Удаленный доступ – процесс получения доступа (через внешнюю сеть) к объектам доступа информационной системы из другой информационной системы (сети) или со средства вычислительной техники, не являющегося постоянно (непосредственно) соединенным физически или логически с информационной системой, к которой он получает доступ.
Управление доступом – ограничение и контроль доступа субъектов доступа к объектам доступа в информационной системе в соответствии с установленными правилами разграничения доступа.
Фильтрация – процесс приема или отклонения потоков данных в сети в соответствии с определенными критериями.

3. Общие требования

3.1. Защита ЗОКИИ (ОКИИ), являющихся информационными (автоматизированными) системами, и их компонентов обеспечивается реализацией следующих мер защиты:

разделение функций по управлению (администрированию) информационной (автоматизированной) системой с иными функциями;
защита периметра;
эшелонированная защита;
сегментирование информационной (автоматизированной) системы (для ЗОКИИ с установленной 1 или 2 категорией значимости);
организация демилитаризованной зоны;
управление сетевыми потоками;
сокрытие архитектуры и конфигурации;
защита неизменяемых данных (для ЗОКИИ с установленной 1 или 2 категорией значимости);
защита от спама (для ЗОКИИ с установленной 1 или 2 категорией значимости);
защита информации при ее передаче по каналам связи;
обеспечение доверенного канала, маршрута;
запрет несанкционированной удаленной активации периферийных устройств;
обеспечение подлинности сетевых соединений (для ЗОКИИ с установленной 1 или 2 категорией значимости);
исключение доступа через общие ресурсы (для ЗОКИИ с установленной 1 или 2 категорией значимости);
защита от угроз отказа в обслуживании (DOS, DDOS-атак);
управление сетевыми соединениями.

3.2. Любые изменения подсистем безопасности ЗОКИИ (ОКИИ) должны осуществляться с учетом требований настоящего Регламента.

4. Разделение функций информационной (автоматизированной) системы

4.1. В ЗОКИИ (ОКИИ) должно быть обеспечено разделение функций (функциональных возможностей) по:

управлению (администрированию) ЗОКИИ (ОКИИ);
управлению (администрированию) подсистемой безопасности ЗОКИИ (ОКИИ);
обработке информации.

4.2. Разделение функций (функциональных возможностей) должно быть выполнено в отношении каждого ЗОКИИ (ОКИИ) [наименование организации] в ходе реализации системы разграничения доступа и должно быть отражено в соответствующей эксплуатационной (рабочей) документации на ЗОКИИ (ОКИИ).

4.3. В качестве функциональных возможностей по управлению (администрированию) ЗОКИИ (ОКИИ) применительно к каждому ЗОКИИ (ОКИИ) следует рассматривать функции:

по управлению базами данных, прикладным программным обеспечением ЗОКИИ (ОКИИ), телекоммуникационным оборудованием, рабочими станциями и серверами ЗОКИИ (ОКИИ);
иные функции, требующие высоких привилегий.

4.4. В качестве функциональных возможностей по управлению (администрированию) подсистемой безопасности ЗОКИИ (ОКИИ) применительно к каждому ЗОКИИ (ОКИИ) следует рассматривать функции:

по управлению функциями безопасности, реализуемые программными и программно-аппаратными средствами ЗОКИИ (ОКИИ);
по управлению средствами защиты информации;
иные функции, требующие высоких привилегий.

4.5. Разделение функциональных возможностей должно быть выполнено одним или комбинацией из следующих способов:

Разделение на физическом уровне путем выделения части программно-технических средств (автоматизированных рабочих мест, серверов и т.д.).
Разделение на логическом уровне путем:
- распределения программно-аппаратных средств в различные домены;
- выделения сетевых адресов;
- выделения каналов управления.

5. Защита сетевого периметра

5.1. В ЗОКИИ (ОКИИ) должна обеспечиваться защита сетевого периметра при их взаимодействии с иными информационными (автоматизированными) системами и информационно-телекоммуникационными сетями.

5.2. Физической границей сетевого периметра следует рассматривать оборудование, обеспечивающее физическое соединение сетей электросвязи [наименование организации] с информационно-телекоммуникационными сетями [наименование должности лица, ответственного за предоставление вычислительных ресурсов и каналов связи, например провайдер], предоставляющих услуги связи, или сетями связи общего пользования.

5.3. Логической границей сетевого периметра ЗОКИИ (ОКИИ) следует рассматривать оборудование, обеспечивающее разделение сетей электросвязи [наименование организации] на самостоятельные разделяемые среды передачи данных (обеспечивается логическое объединение узлов сети электросвязи, при котором обмен данными на уровне звена данных модели взаимосвязи открытых систем возможен только между этими узлами сети электросвязи).

5.4. Защита периметра на физической границе сетевого периметра ЗОКИИ (ОКИИ) должна обеспечиваться за счет:

использования в качестве оборудования, обеспечивающего физическое соединение, программно-аппаратного средства, прошедшего оценку на соответствие требованиям по безопасности в формах обязательной сертификации, испытаний или приемки;
управления сетевыми потоками (входящими в сеть электросвязи [наименование организации] и исходящими из нее).

5.5. Защита периметра на логической границе сетевого периметра ЗОКИИ (ОКИИ) должна обеспечиваться за счет:

использования в качестве оборудования, обеспечивающего разделение сети электросвязи [наименование организации] на самостоятельные разделяемые среды передачи данных, программных или программно-аппаратных средств, прошедших оценку на соответствие требованиям по безопасности в формах обязательной сертификации, испытаний или приемки;
управления сетевыми потоками (входящими в сеть электросвязи [наименование организации] и исходящими из нее).

5.6. Управление сетевыми потоками на физической и (или) логической границе ЗОКИИ (ОКИИ) должно осуществляться в соответствии с разделом 9 настоящего Регламента.

6. Эшелонированная защита

6.1. Создание и (или) развитие подсистем безопасности ЗОКИИ (ОКИИ) должно выполняться с учетом концепции многоуровневой (эшелонированной) защиты от компьютерных атак, предполагающей использование, как правило последовательно, ряда независимых методов защиты информации.

7. Сегментирование информационной (автоматизированной) системы

7.1. С целью построения многоуровневой (эшелонированной) подсистемы безопасности в соответствии с разделом 6 настоящего Регламента, в ЗОКИИ 1 и 2 категории значимости должно осуществляться сегментирование. Сегментирование должно быть направлено на снижение вероятности реализации угроз и (или) их локализацию в рамках одного сегмента ЗОКИИ. Принципы сегментирования информационной (автоматизированной) системы должны определяться в проектной документации на подсистему безопасности с учетом функциональных и технологических особенностей процесса обработки информации и анализа угроз безопасности информации.

8. Организация демилитаризованной зоны

8.1. Организация демилитаризованной зоны является одним из этапов эшелонированной защиты ЗОКИИ (ОКИИ), реализуемой в соответствии с разделом 6 настоящего Регламента.

8.2. Демилитаризованная зона организуется при необходимости предоставления внешним информационным (автоматизированным) системам и сетям электросвязи удаленного доступа к информационным ресурсам ЗОКИИ (ОКИИ).

8.3. Доступ в демилитаризованную зону из внешних сетей электросвязи должен обеспечиваться через программно-аппаратные средства, применяемые для защиты сетевого периметра, в соответствии с разделом 5 настоящего Регламента.

SECURITM

4 месяца назад

Community

9. Управление сетевыми потоками

9.1. В ЗОКИИ (ОКИИ) должно осуществляться управление сетевыми потоками при передаче информации между устройствами, сегментами в рамках ЗО КИИ, включающее:

фильтрацию сетевых потоков в соответствии с правилами управления потоками;
разрешение передачи информации в ЗОКИИ (ОКИИ) только по разрешенному маршруту;
изменение (перенаправление) маршрута передачи информации (в установленных для ЗОКИИ (ОКИИ) случаях);
запись во временное хранилище информации для анализа и принятия решения о возможности ее дальнейшей передачи (в установленных для ЗОКИИ (ОКИИ) случаях)

9.2. Управление сетевыми потоками должно обеспечивать разрешенный маршрут прохождения информации между устройствами, сегментами в рамках ЗОКИИ, а также между ЗОКИИ (ОКИИ) или при взаимодействии с информационно-телекоммуникационными сетями [наименование должности лица, ответственного за предоставление вычислительных ресурсов и каналов связи, например провайдер], предоставляющих услуги связи, или сетями связи общего пользования на основе правил управления сетевыми потоками.

10. Сокрытие архитектуры и конфигурации информационной (автоматизированной) системы

10.1. В [наименование организации] должен быть обеспечен запрет прямого взаимодействия программно-аппаратных средств сети электросвязи ЗОКИИ (ОКИИ) с информационно-телекоммуникационными сетями [наименование должности лица, ответственного за предоставление вычислительных ресурсов и каналов связи, например провайдер], предоставляющих услуги связи, или сетями связи общего пользования.

10.2. Запрет прямого взаимодействия должен быть выполнен с использованием механизмов, встроенных в программно-аппаратных средства, реализующие физическое соединение сетей электросвязи [наименование организации] с информационно-телекоммуникационными сетями [наименование должности лица, ответственного за предоставление вычислительных ресурсов и каналов связи, например провайдер], предоставляющих услуги связи, или сетями связи общего пользования.

11. Защита неизменяемых данных

11.1. В ЗОКИИ 1 и 2 категории значимости должно обеспечиваться управление доступом к неизменяемым данным в соответствии с регламентом управления доступом в ЗОКИИ. К данным, не подлежащим изменению в процессе обработки информации, (неизменяемым данным) в ЗОКИИ относятся:

архивные файлы;
параметры настроек средств защиты информации;
параметры настроек программного обеспечения.

12. Защита от спама

12.1. В ЗОКИИ 1 и 2 категории значимости должно обеспечиваться обнаружение и реагирование на поступление незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к функционированию информационной (автоматизированной) системы (защита от спама).

12.2. Защита от спама должна быть реализована на точках входа (выхода) в ЗОКИИ информационных потоков, а также на автоматизированных рабочих местах, серверах и (или) мобильных технических средствах, подключенных к сетям связи общего пользования.

Защита от спама должна обеспечиваться применением программных и (или) программно-аппаратных средств, реализующих следующие механизмы защиты:

Фильтрация по содержимому электронных сообщений (писем, документов) с использованием критериев, позволяющих относить сообщения к спаму сигнатурным и (или) эвристическим методами;
Фильтрация на основе информации об отправителе электронного сообщения, в том числе с использованием «черных» списков (запрещенные отправители) и (или) «белых» списков (разрешенные отправители).

12.3. Сотрудники [наименование организации], назначенные ответственными за управление (администрирование) подсистемой безопасности ЗОКИИ, должны осуществлять периодическое обновление базы «черных» («белых») списков и контроль целостности базы «черных» («белых») списков.

13. Защита информации при ее передаче по каналам связи

13.1. При передаче информации по каналам связи, выходящим за пределы контролируемой зоны, должна быть обеспечена защита информации от раскрытия, модификации и навязывания (ввода ложной информации).

13.2. Защита информации при ее передаче по каналам связи должна обеспечиваться одним или комбинацией из следующих способов:

защита каналов связи от несанкционированного физического доступа (подключения) к ним;
применение средств криптографической защиты информации.

13.3. Для защиты информации криптографическими методами должны использоваться программные или программно-аппаратные средства, прошедшие оценку соответствия в форме обязательной сертификации, испытаний или приемки.

13.4. В случаях, установленных законодательством Российской Федерации, должны применяться средства криптографической защиты информации, прошедшие оценку соответствия в форме обязательной сертификации.

14. Обеспечение доверенных канала, маршрута

14.1. В ЗОКИИ (ОКИИ) должен обеспечиваться доверенный маршрут передачи данных между:

администратором ЗОКИИ (ОКИИ) и программными или программно-аппаратными средствами ЗОКИИ (ОКИИ);
администратором подсистемы безопасности ЗОКИИ (ОКИИ) и программными или программно-аппаратными средствами, реализующими функции безопасности.

14.2. Доверенный маршрут следует обеспечивать для следующих целей:

идентификация и аутентификация;
управление (администрирование) программным или программно-аппаратным средством.

14.3. Доверенный канал должен быть обеспечен при локальном доступе и, при наличии, удаленном доступе.

15. Запрет несанкционированной удаленной активации периферийных устройств

15.1. В ЗОКИИ (ОКИИ) должны быть запрещены операции, связанные с удаленной активацией периферийных устройств.

15.2. Запрет несанкционированной удаленной активации должен осуществляться в отношении всех периферийных устройств ввода (вывода) информации, которые имеют возможность управления (запуска, включения, выключения) через компоненты программного обеспечения, установленного на рабочем месте пользователя, коммуникационных сервисов сторонних лиц (провайдеров) (ICQ, Skype и иные сервисы).

15.3. В качестве периферийных устройств следует, как минимум, рассматривать:

видеокамеры;
микрофоны;
иные периферийные устройства ввода (вывода) информации.

15.4. Запрет несанкционированной удаленной активации должен осуществляться через физическое исключение такой возможности и (или) путем управления программным обеспечением.

15.5. Исключительные случаи, при которых допускается возможность удаленной активации периферийных устройств в [наименование организации], не определены.

16. Обеспечение подлинности сетевых соединений

16.1. В ЗОКИИ 1 и 2 категории значимости должно осуществляться обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов (защита от атак типа «человек посередине»).

16.2. Принципы обеспечения подлинности сетевых соединений должны определяться в проектной документации на подсистему безопасности ЗОКИИ с учетом функциональных и технологических особенностей процесса обработки информации и анализа угроз безопасности информации.

17. Исключение доступа через общие ресурсы

17.1. В ЗОКИИ 1 и 2 категории значимости должно обеспечиваться исключение доступа пользователя к информации, возникшей в результате действий предыдущего пользователя, через реестры, оперативную память, внешние запоминающие устройства, ресурсы файловой системы и иные общие для пользователей ресурсы ЗОКИИ.

17.2. Исключение доступа к информации через общие для пользователей ресурсы включает запрет доступа текущему пользователю (учетной записи) или текущему процессу к системным ресурсам (реестрам, оперативной памяти, внешним запоминающим устройствам), в которых хранится информация другого (предыдущего) пользователя, при их повторном использовании.

18. Управление сетевыми соединениями

18.1. В ЗОКИИ (ОКИИ) должно осуществляться прекращение сетевых соединений по их завершении и (или) по истечении [указать временной интервал неактивности сетевого соединения, например 10 мин.].

19. Ответственность

19.1. Сотрудники [наименование организации], включенные в состав сил обеспечения безопасности, несут персональную ответственность за ненадлежащее исполнение или неисполнение требований, предусмотренных настоящим Регламентом.

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.