Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Состав и содержание мероприятий и мер по защите информации, содержащейся в информационных системах

Методическая документация ФСТЭК

4.4. Защита виртуализации и облачных вычислений (ЗСВ)

Для проведения оценки соответствия по документу войдите в систему.

Список требований

4. Меры по защите информационных систем и содержащейся в них информации
4.4. Защита виртуализации и облачных вычислений (ЗСВ)
ЗСВ.1 Доверенная загрузка средств виртуализации и виртуальных машин
Цель: Контроль целостности средств виртуализации и виртуальных машин на этапе их загрузки.
Требования к реализации: При применении средств виртуализации должны обеспечиваться:
доверенная загрузка хостовой операционной системы (при ее наличии) и средства виртуализации;
выявление загрузки виртуальных машин, состав и настройки виртуального оборудования которых содержат несанкционированные изменения.
Указанные меры защиты информации реализуются за счет применения в информационной системе встроенных в базовые системы ввода-вывода механизмов безопасности, и (или) средств доверенной загрузки, и (или) встроенных в хостовые операционные системы механизмов безопасности, и (или) встроенных в средства виртуализации механизмов безопасности.
Требования к документированию: Не предъявляются.
Требования к усилению:
1. должна обеспечиваться блокировка загрузки виртуальной машины, в которой исполняемые файлы или конфигурация компонентов, участвующих в загрузке гостевой операционной системы, содержат несанкционированные изменения;
2. должна обеспечиваться блокировка загрузки виртуальной машины, если загружаемая версия гостевой операционной системы содержит критические уязвимости и (или) запрещена для использования в информационной системе;
3. должна обеспечиваться блокировка загрузки виртуальной машины, если исполняемые файлы или конфигурация компонентов, участвующих в загрузке гостевой операционной системы, не прошли аутентификацию с использованием свидетельств подлинности модулей (в том числе цифровых сигнатур производителя или иных свидетельств подлинности модулей);
4. должна обеспечиваться блокировка загрузки виртуальной машины, если исполняемые файлы или конфигурация компонентов, участвующих в загрузке гостевой операционной системы, не прошли аутентификацию с использованием свидетельств подлинности модулей в виде цифровых сигнатур оператора информационной системы.
Реализация в информационной системе:
ЗСВ.1
К3 + К2 + К1 +
Усиление ЗСВ.1
К3 К2 1 К1 1,2
ЗСВ.2 Контроль целостности средств виртуализации и виртуальных машин
Цель: Контроль целостности средств виртуализации и виртуальных машин на этапе их функционирования.
Требования к реализации: При применении средств виртуализации должен обеспечиваться еженедельный или с меньшей периодичностью, устанавливаемой в информационной системе, контроль отсутствия несанкционированных изменений в составе и настройках виртуального оборудования выполняющихся виртуальных машин.
Указанные меры защиты информации реализуются за счет применения в информационной системе встроенных в средства виртуализации механизмов безопасности.
Требования к документированию: Не предъявляются.
Требования к усилению:
1. должен обеспечиваться еженедельный или с меньшей периодичностью, устанавливаемой в информационной системе, контроль отсутствия несанкционированных изменений в исполняемых файлах программного обеспечения хостовой операционной системы и средства виртуализации;
2. должен обеспечиваться еженедельный или с меньшей периодичностью, устанавливаемой в информационной системе, контроль отсутствия несанкционированных изменений в параметрах настройки хостовой операционной системы и средства виртуализации;
3. должен обеспечиваться еженедельный или с меньшей периодичностью, устанавливаемой в информационной системе, контроль отсутствия несанкционированных изменений в файлах виртуальной базовой системы ввода-вывода (первичного загрузчика виртуальной машины);
4. должен обеспечиваться еженедельный или с меньшей периодичностью, устанавливаемой в информационной системе, контроль отсутствия несанкционированных изменений в исполняемых файлах программного обеспечения гостевой операционной системы.
Реализация в информационной системе:
ЗСВ.2
К3 + К2 + К1 +
Усиление ЗСВ.2
К3 К2 1,2 К1 1,2
ЗСВ.3 Регистрация событий безопасности в среде виртуализации
Цель: Определить состав и содержание информации о событиях безопасности, подлежащих регистрации в среде виртуализации.
Требования к реализации: При применении средств виртуализации должна обеспечиваться в соответствии с мерами защиты информации РСБ.1 — РСБ.5 регистрация следующих событий безопасности:
- успешные и неуспешные попытки аутентификации пользователей средств виртуализации;
- доступ пользователей средств виртуализации к виртуальным машинам посредством интерфейса средства виртуализации (терминальный доступ, виртуальный рабочий стол);
- создание и удаление виртуальных машин;
- запуск и остановка средства виртуализации с указанием причины остановки;
- запуск и остановка виртуальных машин с указанием причины остановки;
- изменение назначения ролей;
- изменение конфигурации средства виртуализации;
- изменение конфигураций виртуальных машин;
- факты нарушения целостности объектов контроля;
- факты перемещения виртуальных машин.
Указанные меры защиты информации реализуются за счет применения в информационной системе встроенных в средства виртуализации механизмов защиты и (или) средств управления событиями безопасности.
Требования к документированию: В эксплуатационной документации на информационную систему должны быть определены требования к сбору, регистрации и анализу событий безопасности.
Требования к усилению: Не предъявляются.
Реализация в информационной системе:
ЗСВ.3
К3 + К2 + К1 +
Усиление ЗСВ.3
К3 К2 К1
ЗСВ.4 Управление доступом в среде виртуализации
Цель: Исключение несанкционированного доступа к объектам защиты в среде виртуализации.
Требования к реализации: Должны обеспечиваться меры по управлению доступом пользователей в среде виртуализации в соответствии с мерами защиты информации УПД.1 — УПД.4, а также:
- управление правами доступа пользователей средств виртуализации к виртуальным машинам;
- управление доступом виртуальных машин к физическому и виртуальному оборудованию;
- управление квотами доступа виртуальных машин к физическому и виртуальному оборудованию.
Указанные меры защиты информации реализуются за счет применения в информационной системе встроенных в средства виртуализации механизмов безопасности.
Требования к документированию: В эксплуатационной документации на информационную систему должна быть определена модель управления доступом в среде виртуализации.
Требования к усилению: Не предъявляются.
Реализация в информационной системе:
ЗСВ.4
К3 + К2 + К1 +
Усиление ЗСВ.4
К3 К2 К1
ЗСВ.5 Резервное копирование в среде виртуализации
Цель: Обеспечение возможности восстановления средств виртуализации и виртуальных машин.
Требования к реализации: При применении средств виртуализации должно обеспечиваться резервное копирование:
образов виртуальных машин, определенных оператором;
параметров настройки средств виртуализации.
Указанные меры защиты информации реализуются за счет применения в информационной системе встроенных в средства виртуализации механизмов безопасности, и (или) встроенных в хостовые операционные системы механизмов безопасности, и (или) средств резервного копирования.
Требования к документированию: В эксплуатационной документации на информационную систему должен быть определен порядок реализации резервного копирования.
Требования к усилению:
1. должно обеспечиваться резервное копирование конфигураций виртуального оборудования виртуальных машин;
2. должно обеспечиваться резервное копирование сведений о событиях безопасности в среде виртуализации.
Реализация в информационной системе:
ЗСВ.5
К3 + К2 + К1 +
Усиление ЗСВ.5
К3 К2 К1
ЗСВ.6 Ограничение программной среды в среде виртуализации
Цель: Блокирование несанкционированного запуска программного обеспечения в среде виртуализации.
Требования к реализации: Должно обеспечиваться выявление запуска компонентов программного обеспечения хостовой операционной системы и средства виртуализации, не включенных в перечень компонентов, разрешенных для запуска.
Указанные меры защиты информации реализуются за счет применения в информационной системе встроенных в средства виртуализации и (или) хостовые операционные системы механизмов безопасности.
Требования к документированию: Не предъявляются.
Требования к усилению:
должна обеспечиваться блокировка запуска компонентов программного обеспечения хостовой операционной системы и (или) средства виртуализации, не включенных в перечень программного обеспечения, разрешенного для запуска в среде виртуализации.
Реализация в информационной системе:
ЗСВ.6
К3 + К2 + К1 +
Усиление ЗСВ.6
К3 К2 К1 1
ЗСВ.7 Защита памяти в среде виртуализации
Цель: Защита оперативной и постоянной памяти информационной системы при применении средств виртуализации.
Требования к реализации: При применении средств виртуализации должны обеспечиваться:
изоляция областей памяти, относящихся к различным виртуальным машинам;
очистка остаточной информации в памяти средств вычислительной техники, используемой для хранения данных виртуальных машин, при ее освобождении или перераспределении.
Указанные меры защиты информации реализуются за счет применения в информационной системе встроенных в средства виртуализации и (или) хостовые операционные системы механизмов безопасности.
Требования к документированию: Не предъявляются.
Требования к усилению:
1. должно обеспечиваться удаление объектов файловой системы, используемых средством виртуализации, путем многократной перезаписи уничтожаемых (стираемых) объектов файловой системы специальными битовыми последовательностями;
2. должна обеспечиваться изоляция области памяти виртуальных машин путем применения механизмов управления памятью аппаратной платформы;
3. должен обеспечиваться контроль целостности областей памяти виртуальных машин по запросу гостевой операционной системы.
Реализация в информационной системе:
ЗСВ.7
К3 + К2 + К1 +
Усиление ЗСВ.7
К3 К2 К1
ЗСВ.8 Идентификация и аутентификация в среде виртуализации
Цель: Исключение несанкционированного доступа субъектов доступа, не прошедших идентификацию и аутентификацию, к объектам доступа в среде виртуализации.
Требования к реализации: Должна обеспечиваться идентификация и аутентификация субъектов доступа в среде виртуализации в соответствии с мерами защиты информации ИАФ.1, ИАФ.3, в том числе:
- разработчиков виртуальных машин;
- администраторов безопасности средств виртуализации;
- администраторов средств виртуализации;
- администраторов виртуальных машин;
- администраторов хостовых операционных систем;
- администраторов средств вычислительной техники, с использованием которых обеспечивается функционирование среды виртуализации.
Указанные меры защиты информации реализуются за счет применения в информационной системе встроенных в средства виртуализации и (или) хостовые операционные системы механизмов безопасности.
Требования к документированию: В эксплуатационной документации на информационную систему должен быть определен порядок идентификации и аутентификации субъектов доступа в среде виртуализации.
Требования к усилению:
должна обеспечиваться идентификация объектов доступа среды виртуализации:
виртуальных машин;
средств виртуализации;
средств вычислительной техники, входящих в состав виртуальной инфраструктуры.
Реализация в информационной системе:
ЗСВ.8
К3 + К2 + К1 +
Усиление ЗСВ.8
К3 К2 К1
ЗСВ.9 Управление виртуальными машинами
Цель: Обеспечение централизованного управления образами виртуальных машин и виртуальными машинами.
Требования к реализации: При применении средств виртуализации должны обеспечиваться управление размещением и перемещением:
файлов-образов виртуальных машин между носителями (системами хранения данных);
исполняемых виртуальных машин между серверами виртуализации;
данных, обрабатываемых с использованием виртуальных машин, между носителями (системами хранения данных).
При применении средств виртуализации должен обеспечиваться контроль за перемещением виртуальных машин за пределы информационной системы (сегментов информационной системы) и (или) информационно-телекоммуникационной инфраструктуры, на базе которой они функционируют.
Управление перемещением виртуальных машин и обрабатываемых на них данных должно обеспечиваться только с применением технических средств, входящих в состав информационной системы.
Указанные меры защиты информации реализуются за счет применения в информационной системе встроенных в средства виртуализации и (или) хостовые операционные системы механизмов безопасности.
Требования к документированию: Не предъявляются.
Требования к усилению: Непредъявляются.
Реализация в информационной системе:
ЗСВ.9
К3 К2 + К1 +
Усиление ЗСВ.9
К3 К2 К1

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.