Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Состав и содержание мероприятий и мер по защите информации, содержащейся в информационных системах

Методическая документация ФСТЭК

4.12 Защита точек беспроводного доступа (ЗБД)

Для проведения оценки соответствия по документу войдите в систему.

Список требований

4. Меры по защите информационных систем и содержащейся в них информации
4.12 Защита точек беспроводного доступа (ЗБД)
ЗБД.1 Идентификация и аутентификация
Цель: Исключение доступа объектов и субъектов беспроводного доступа к информационной системе, не прошедших процедуру идентификации и аутентификации.
Требования к реализации: Должны обеспечиваться:
- идентификация и аутентификация пользователей, запрашивающих доступ к беспроводной локальной вычислительной сети (внутренних пользователей, привилегированных пользователей, администраторов), в соответствии с мерами защиты информации ИАФ.1, ИАФ.3;
- идентификация устройств, запрашивающих доступ к беспроводной локальной вычислительной сети, в соответствии с мерой защиты информации ИАФ.2;
- идентификация точек беспроводного доступа беспроводной локальной вычислительной сети.
Идентификация точек беспроводного доступа должна обеспечиваться по логическим именам (например, символьному названию беспроводной точки доступа SSID), логическим адресам (например, IP-адресам) и (или) по физическим адресам (например, МАС-адресам) или по комбинации имени, логического и (или) физического адресов точки беспроводного доступа.
Идентификация устройств при подключении к точкам беспроводного доступа в информационной системе обеспечивается по логическим именам (имя устройства и (или) ID), логическим адресам (например, IP-адресам) и (или) по физическим адресам (например, МАС-адресам) устройства или по комбинации имени, логического и (или) физического адресов устройства.
Не допускается осуществлять аутентификацию точек беспроводного доступа с использованием паролей, установленных по умолчанию.
Указанные меры защиты информации реализуются за счет применения в информационной системе средств идентификации и аутентификации, реализованных и (или) применяемых в точках беспроводного доступа, ином оборудовании беспроводной локальной вычислительной сети, устройствах пользователей.
Требования к документированию: Не предъявляются.
Требования к усилению:
1. должно обеспечиваться сокрытие имени сети (SSID) в списке доступных сетей;
2. для управления учетными записями и учетными данными субъектов беспроводного доступа в беспроводной локальной вычислительной сети должны использоваться системы (средства) управления учетными записями;
3. символьное название беспроводной точки доступа, служащее для идентификации ее пользователями и устройствами пользователей, точкой доступа не должно транслироваться широковещательно и, соответственно, не должно отражаться в списке видимых точек доступа на устройствах пользователей и иных субъектов доступа;
Реализация в информационной системе:
ЗБД.1
К3 + К2 + К1 +
Усиление ЗБД.1
К3 К2 К1 1
ЗБД.2 Управление доступом
Цель: Исключение несанкционированного доступа к точкам беспроводного доступа.
Требования к реализации: Должны обеспечиваться меры по управлению доступом субъектов к точкам беспроводного доступа
в информационной системе в соответствии с мерами защиты информации УПД.1 ‒ УПД.9, а также обеспечиваться:
- фильтрация устройств пользователей, используемых для беспроводного доступа, (например, по физическим адресам (МАС-адресам) для управления разрешениями по доступу к беспроводной локальной вычислительной сети;
- предоставление доступа к параметрам (изменению параметров) настройки точек беспроводного доступа только администраторам информационной системы;
- предоставление доступа к беспроводной локальной вычислительной сети (к точкам беспроводного доступа, хранимой информации, услугам (сервисам) и приложениям) только пользователям, прошедшим идентификацию и аутентификацию.
Указанные меры защиты информации реализуются за счет применения в информационной системе средств управления доступом, реализованных и (или) применяемых в точках беспроводного доступа, ином оборудовании беспроводной локальной вычислительной сети, устройствах пользователей.
При предоставлении пользователям доступа к точкам беспроводного доступа должен применяться принцип наименьших привилегий.
Требования к документированию: Не предъявляются.
Требования к усилению:
1. должна быть исключена возможность несанкционированных изменений настроек точек беспроводного доступа;
2. должно обеспечиваться ограничение времени сессии доступа пользователей и автоматическое завершение соединений при превышении заданного времени доступа;
3. должны применяться системы управления беспроводными сетями;
4. должны применяться системы контроля (управления) доступом устройств при подключении к беспроводной локальной вычислительной сети.
Реализация в информационной системе:
ЗБД.2
К3 + К2 + К1 +
Усиление ЗБД.2
К3 К2 К1
ЗБД.3 Защита пользовательских данных
Цель: Предотвращение утечек, перехвата и модификации пользовательских данных при подключении к точкам беспроводного доступа.
Требования к реализации: При подключении пользователей к точкам беспроводного доступа в информационной системе должны обеспечиваться:
выделение беспроводных локальных вычислительных сетей в отдельные сегменты информационной системы;
инвентаризация точек беспроводного доступа;
подключение только к разрешенным точкам беспроводного доступа для выполнения установленных обязанностей (функций);
обеспечение возможности реализации соединений с точками беспроводного доступа только через контролируемые интерфейсы точек беспроводного доступа и устройств пользователей (в том числе, путем применения средств защиты информации);
контроль подключения устройств пользователей к точкам беспроводного доступа пользователей в информационной системе до начала информационного взаимодействия с информационной системой.
На точках беспроводного доступа неиспользуемые функциональные возможности должны быть отключены (заблокированы).
Должен выполняться анализ уязвимостей прошивок и программного обеспечения точек беспроводного доступа. В случае выявления уязвимостей должно выполняться обновление версий прошивок и программного обеспечения точек беспроводного доступа (при их наличии) на версии, не содержащие уязвимости.
Требования к документированию: Не предъявляются.
Требования к усилению:
1. должен обеспечиваться анализ сетевого трафика сетей беспроводного доступа с целью выявления признаков реализации компьютерных атак;
2. должна проводиться инвентаризация точек беспроводного доступа с целью выявления неиспользуемых устройств, а также устройств, не предусмотренных к использованию;
3. должно обеспечиваться отключение функциональной возможности автоматического подключения устройств пользователей к точкам беспроводного доступа;
4. должен обеспечиваться анализ сетевого трафика беспроводной локальной вычислительной сети с целью выявления несанкционированных подключений;
5. должны применяться механизмы фильтрации (ограничения доступа) при подключении к точкам беспроводного доступа по физическим и (или) логическим адресам.
Реализация в информационной системе:
ЗБД.3
К3 + К2 + К1 +
Усиление ЗБД.3
К3 К2 К1
ЗБД.4 Контроль целостности
Цель: Обеспечение целостности точек беспроводного доступа.
Требования к реализации: Должны обеспечиваться следующие меры по контролю целостности точек беспроводного доступа в информационной системе:
контроль целостности программного обеспечения точек беспроводного доступа, в том числе версий микропрограммного обеспечения;
контроль состава аппаратных компонентов точек беспроводного доступа;
отключение неиспользуемых интерфейсов;
размещение точек беспроводного доступа в пределах контролируемой зоны;
установка актуальных обновлений для точек беспроводного доступа и устранение уязвимостей, связанных с безопасностью беспроводных соединений.
Требования к документированию: Не предъявляются.
Требования к усилению:
1. должен осуществляться еженедельный или с меньшей периодичностью, устанавливаемой в информационной системе, контроль отсутствия несанкционированных изменений в настройках в точках беспроводного доступа;
2. должен осуществляться контроль целостности микропрограммного обеспечения точек беспроводного доступа путем верификации цифровой подписи или контрольных сумм;
3. должно обеспечиваться исключение возможности изменения пользователем подключаемого устройства настроек точек беспроводного доступа;
4. должен обеспечиваться контроль целостности конфигурации и параметров настройки точек беспроводного доступа.
Реализация в информационной системе:
ЗБД.4
К3 + К2 + К1 +
Усиление ЗБД.4
К3 К2 К1
ЗБД.5 Ограничение уровней сигналов
Цель: Обеспечение невозможности (затруднения) доступа к точкам беспроводного доступа из-за пределов контролируемой зоны.
Требования к реализации: Должны применяться точки беспроводного доступа, имеющие возможность настройки уровня мощности сигнала.
Должно обеспечиваться ограничение уровней сигналов точек беспроводного доступа. Значения уровней сигналов точек беспроводного доступа должны устанавливаться с учетом физических границ информационной системы (сегментов информационной системы) с целью обеспечения минимального уровня сигнала на физических границах.
Требования к документированию: Не предъявляются.
Требования к усилению:
1. должен осуществляться мониторинг уровней сигналов точек беспроводного доступа;
2. должна быть составлена карта покрытия сигналами точек беспроводного доступа помещений информационной системы (сегментов информационной системы), размещение точек беспроводного доступа и уровень мощности их сигналов должны быть определены с учетом карты покрытия;
3. должна осуществляться фильтрация частотного диапазона передачи данных точки беспроводного доступа для исключения несанкционированного доступа к информации, передаваемой по беспроводному каналу.
Реализация в информационной системе:
ЗБД.5
К3 + К2 + К1 +
Усиление ЗБД.5
К3 К2 К1
ЗБД.6 Регистрация, анализ и реагирование на события безопасности
Цель: Определение состава и содержания информации о событиях безопасности, подлежащих регистрации в беспроводных локальных вычислительных сетях.
Требования к реализации: Должна обеспечиваться регистрация событий безопасности в сетях беспроводного доступа в соответствии с мерами защиты информации РСБ.1 ‒ РСБ.5.
Должен выполняться анализ зарегистрированных событий безопасности, по результатам анализа должно осуществляться реагирование на выявленные компьютерные инциденты.
Требования к документированию: Не предъявляются.
Требования к усилению:
1. реагирование на выявленные признаки компьютерных инцидентов должно включать отправку уведомлений администратору безопасности информационной системы;
2. должны обеспечиваться блокирование и (или) изоляция точек беспроводного доступа, на которых выявлены компьютерные инциденты.
Реализация в информационной системе:
ЗБД.6
К3 + К2 + К1 +
Усиление ЗБД.6
К3 К2 1 К1 1

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.