Состав и содержание мероприятий и мер по защите информации, содержащейся в информационных системах

Требования к реализации: В информационной системе должна быть реализована модель управления доступом, формализующая методы управления доступом, типы доступа субъектов к объектам доступа и правила управления доступа субъектов доступа к объектам доступа, реализуемые в информационной системе.

Разработка модели управления доступом осуществляется с учетом положений национальных стандартов ГОСТ Р 59453.1-2021 «Защита информации. Формальная модель управления доступом. Часть 1. Общие положения», ГОСТ Р 59453.3-2025 «Защита информации. Формальная модель управления доступом. Часть 3. Рекомендации по разработке».

В информационной системе должны быть реализованы один или несколько методов управления доступом, к которым относятся:

В информационной системе в зависимости от реализуемых методов управления доступом необходимо определить несколько из указанных критериев:

Модель управления доступом должна пересматриваться ежегодно или при внесении изменений в методы и типы субъектов и объектов доступа, а также типы доступа субъектов к объектам доступа.

В информационной системе должна быть реализована модель управления доступом за счет применения в информационной системе операционных систем, систем управления базами данных, средств виртуализации, средств контейнеризации, средств доверенной загрузки, иных средств защиты информации.

Требования к документированию: В эксплуатационной документации на информационную систему должны быть определены:

1. модель управления доступом должна быть согласована с моделями доступа, применяемыми в операционных системах, системах управления базами данных, средствах виртуализации, средствах контейнеризации, иных средствах защиты информации;

2. модель управления доступом должна обеспечивать реализацию управления доступом между субъектами и объектами доступа, являющимися устройствами и (или) приложениями;

3. модель управления доступом должна реализовываться на уровне сегментов информационной системы (микросегментов, информационных ресурсов, приложений) путем применения межсетевых экранов уровня приложений, многофункциональных межсетевых экранов уровня сети, средств виртуализации.

Требования к реализации: Разграничение и контроль прав доступа реализуются на основе модели управления доступом и должны обеспечивать управление доступом пользователей и запускаемых от их имени приложений при доступе (входе) в информационную систему и различных типах последующего доступа в информационной системе:

В информационной системе должны быть обеспечены:

В информационной системе должен быть установлен запрет использования пользователями информационной системы групповых (общих) учетных записей и учетных записей, заданных по умолчанию, посредством отключения (удаления) данных учетных записей в информационной системе.

В информационной системе должны быть пересмотрены ограничения и запреты действий для пользователей с целью актуализации правил разграничения и минимизации прав доступа ежегодно или при внесении изменений в методы и типы субъектов и объектов доступа, а также типы доступа субъектов к объектам доступа, или при существенном изменении числа и состава групп субъектов и объектов доступа.

Требования к документированию: В эксплуатационной документации на информационную систему должны быть определены:

1. в информационной системе должна быть обеспечена реализация ограничений и запретов совмещения одним пользователем информационной системы непривилегированных обязанностей по обработке информации и привилегированных обязанностей по администрированию, обеспечению безопасности, обеспечению функционирования информационной системы;

2. в информационной системе должна быть обеспечена минимизация прав субъектов и объектов доступа, являющихся устройствами и приложениями, в том числе средствами защиты информации, а также техническими компонентами информационной системы, такими как средства управления базами данных, конвейеры разработки, тестирования и доставки программного обеспечения, хранилища секретов, элементы сетевой инфраструктуры, облачные сервисы и средства администрирования, в том числе на уровне типов доступа к файлам и процессам приложений в операционной системе;

3. в информационной системе должен быть определен привилегированный пользователь (главный администратор), имеющий права по передаче полномочий по администрированию информационной системы и системы защиты информации другим лицам и осуществляющий контроль за использованием переданных полномочий.

Требования к реализации: Управление учетными записями субъектов доступа в информационной системе должно обеспечивать:

В информационной системе должны использоваться средства управления учетными записями пользователей.

Требования к документированию: В эксплуатационной документации на информационную систему должны быть определены:

1. в информационной системе должно быть реализовано централизованное управление учетными записями пользователей с использованием программного обеспечения централизованного управления учетными записями;

2. в информационной системе должно быть реализовано централизованное управление учетными записями устройств, приложений с использованием программного обеспечения централизованного управления учетными записями.

Требования к реализации: В информационной системе должно быть обеспечено ограничение права доступа субъектов доступа, превысивших число неуспешных попыток доступа в информационную систему за установленный в информационной системе период времени.

Ограничение прав доступа должно реализовываться в отношении:

Требования к документированию: В эксплуатационной документации на информационную систему должны быть определены:

1. в информационной системе должна быть обеспечена реализация автоматического блокирования и (или) удаления временных и неиспользуемых учетных записей, а также оповещение о данном событии привилегированного пользователя (администратора), отвечающего за управление и контроль над учетными записями пользователей;

2. разблокирование доступа привилегированных субъектов доступа, превысивших число неуспешных попыток доступа в информационную систему, может выполняться только главным администратором.

Требования к документированию: В эксплуатационной документации на информационную систему должны быть определены:

1. после успешного выполнения пользователем входа в информационную систему должно обеспечиваться оповещение пользователя о числе неуспешных попыток входа в информационную систему от имени его учетной записи, зафиксированных с момента последнего успешного входа пользователя в информационную систему;

2. после успешного выполнения пользователем входа в информационную систему должно обеспечиваться оповещение пользователя о числе всех попыток входа в информационную систему от имени его учетной записи, зафиксированных в нештатное (нерегламентированное) время;

3. после успешного выполнения пользователем входа в информационную систему должно обеспечиваться оповещение пользователя о числе всех попыток входа в информационную систему от имени его учетной записи, зафиксированных за период времени не менее 7 дней;

4. после успешного выполнения пользователем входа в информационную систему должно обеспечиваться оповещение пользователя об изменении сведений, относящихся к учетной записи пользователя (в том числе повышении прав доступа), произведенных за период времени не менее, чем с момента предыдущего успешного входа в информационную систему;

5. объем сведений о фактах попыток входа от имени учетной записи пользователя в информационную систему должен включать информацию о том, откуда (например, регион или IP-адрес) и с какого устройства или приложения (например, сигнатуры сведений о пользовательском агенте) осуществлялась попытка входа;

6. пользователь должен получать уведомления о критически важных событиях (изменение пароля, вход из нового региона/устройства) по альтернативным каналам связи.

Требования к реализации: В информационной системе должны обеспечиваться:

В информационной системе в случае попытки входа от имени учетных записей непривилегированных или привилегированных пользователей, для которых достигнуто максимальное значение допустимых параллельных сеансов, при успешной аутентификации пользователя или администратора должно выдаваться сообщение о превышении числа параллельных сеансов доступа, месте (местах) их предыдущего входа (предыдущих входов) с активными сессиями и предложением отключения этой сессии (этих сессий).

В информационной системе число параллельных сеансов доступа может быть задано для информационной системы в целом, для отдельных сегментов информационной системы, для групп пользователей, отдельных пользователей или их комбинаций.

Требования к документированию: В эксплуатационной документации на информационную систему должны быть определены:

Требования к реализации: В информационной системе должно обеспечиваться блокирование сеанса доступа субъекта доступа (пользователя, устройства, приложения) после установленного в информационной системе времени его бездействия (неактивности), а также по запросу субъекта доступа или оператора.

Для заблокированного сеанса должно осуществляться блокирование любых действий по доступу к информации и (или) устройствам отображения, кроме необходимых для разблокирования сеанса.

Требования к документированию: В эксплуатационной документации на информационную систему должны быть определены:

1. в информационной системе должно осуществляться завершение сеанса доступа после превышения установленного оператором времени бездействия (неактивности) субъекта доступа;

2. в информационной системе должно осуществляться завершение сеанса доступа после превышения установленного оператором числа неуспешных попыток разблокирования сеанса доступа.

Требования к документированию: В эксплуатационной документации на информационную систему должны быть определены: