Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Состав и содержание мероприятий и мер по защите информации, содержащейся в информационных системах

Методическая документация ФСТЭК

4.5. Защита технологий контейнерных сред и их оркестрации (ЗКО)

Для проведения оценки соответствия по документу войдите в систему.

Список требований

4. Меры по защите информационных систем и содержащейся в них информации
4.5. Защита технологий контейнерных сред и их оркестрации (ЗКО)
ЗКО.1 Контроль целостности в контейнерных средах
Цель: Обеспечение целостности средства контейнеризации, контейнеров и их образов.
Требования к реализации: При применении средств контейнеризации должен обеспечиваться еженедельный или с меньшей периодичностью, устанавливаемой в информационной системе, контроль отсутствия несанкционированных изменений в образах контейнеров и в исполняемых файлах контейнеров.
Указанная мера защиты информации реализуется за счет применения в информационной системе встроенных в средства контейнеризации и хостовые операционные системы механизмов безопасности.
Требования к документированию: Не предъявляются.
Требования к усилению:
1. должен обеспечиваться еженедельный или с меньшей периодичностью, устанавливаемой в информационной системе, контроль отсутствия несанкционированных изменений в исполняемых файлах программного обеспечения хостовой операционной системы и средства контейнеризации;
2. должен обеспечиваться еженедельный или с меньшей периодичностью, устанавливаемой в информационной системе, контроль отсутствия несанкционированных изменений в параметрах настройки хостовой операционной системы и средства контейнеризации;
3. должно обеспечиваться выявление запуска компонентов программного обеспечения хостовой операционной системы и средства контейнеризации, целостность которых нарушена;
4. должен обеспечиваться контроль отсутствия несанкционированных изменений в образах контейнеров с использованием свидетельств подлинности (в том числе цифровых сигнатур производителя или иных свидетельств подлинности модулей) при установке образов контейнера в информационной системе;
5. должен обеспечиваться еженедельный или с меньшей периодичностью, устанавливаемой в информационной системе, контроль отсутствия несанкционированных изменений в образах контейнеров и в параметрах настройки средства контейнеризации с использованием свидетельств подлинности (в том числе цифровых сигнатур производителя или иных свидетельств подлинности модулей);
6. должно обеспечиваться выявление образа контейнера, целостность которого нарушена;
7. должна обеспечиваться блокировка запуска образа контейнера, целостность которого нарушена, и компонентов программного обеспечения хостовой операционной системы и средства контейнеризации, целостность которых нарушена.
Реализация в информационной системе:
ЗКО.1
К3 + К2 + К1 +
Усиление ЗКО.1
К3 К2 1,2 К1 1,2,3,4,5,6
ЗКО.2 Регистрация событий безопасности в контейнерных средах
Цель: Определение состава и содержания информации о событиях безопасности, подлежащих регистрации в контейнерных средах.
Требования к реализации: При применении контейнерных сред должна обеспечиваться в соответствии с мерами защиты информации РСБ.1 — РСБ.5 регистрация следующих событий безопасности:
- попытки осуществления несанкционированного доступа к средству контейнеризации;
- попытки аутентификации пользователей средств контейнеризации;
- создание, модификация и удаление образов контейнеров;
- получение доступа к образам контейнеров;
- запуск и остановка средства контейнеризации с указанием причины остановки;
- запуск и остановка контейнеров с указанием причины остановки;
- изменение назначения ролей;
- модификация запускаемых контейнеров;
- выявление известных уязвимостей в образах контейнеров и некорректности их конфигурации;
- факты нарушения целостности объектов контроля.
Кроме того, должна обеспечиваться регистрация событий безопасности, относящихся к функционированию контейнера, с указанием идентификатора контейнера.
Указанные меры защиты информации реализуются за счет применения в информационной системе встроенных в средства контейнеризации и хостовые операционные системы механизмов безопасности.
Требования к документированию: В эксплуатационной документации на информационную систему должны быть определены требования к регистрации событий безопасности при применении контейнерных сред.
Требования к усилению: Не предъявляются.
Реализация в информационной системе:
ЗКО.2
К3 + К2 + К1 +
Усиление ЗКО.2
К3 К2 К1
ЗКО.3 Управление доступом в контейнерных средах
Цель: Исключение несанкционированного доступа к объектам защиты в контейнерных средах.
Требования к реализации: При применении контейнерных сред должно обеспечиваться в соответствии с мерами защиты информации УПД.1 ‒ УПД.4 управление доступом пользователей средства контейнеризации, а также иных субъектов доступа к контейнерам и их образам.
Указанные меры защиты информации реализуются за счет применения в информационной системе встроенных в средства контейнеризации и хостовые операционные системы механизмов безопасности.
Требования к документированию: В эксплуатационной документации на информационную систему должны быть определены модели управления доступом в контейнерных средах, применяемых в информационной системе.
Требования к усилению: Не предъявляются.
Реализация в информационной системе:
ЗКО.3
К3 + К2 + К1 +
Усиление ЗКО.3
К3 К2 К1
ЗКО.4 Резервное копирование в контейнерных средах
Цель: Обеспечение возможности восстановления функционирования контейнерной среды информационной системы.
Требования к реализации: При применении контейнерной среды должно обеспечиваться резервное копирование образов контейнеров.
Указанная мера защиты информации реализуются за счет применения в информационной системе средств резервного копирования.
Требования к документированию: В эксплуатационной документации на информационную систему должен быть определен порядок резервного копирования контейнерной среды.
Требования к усилению:
1. должно обеспечиваться резервное копирование параметров настройки средств контейнеризации;
2. должно обеспечиваться резервное копирование сведений о событиях безопасности в среде контейнеризации.
Реализация в информационной системе:
ЗКО.4
К3 + К2 + К1 +
Усиление ЗКО.4
К3 К2 К1
ЗКО.5 Изоляция контейнеров в контейнерной среде
Цель: Предотвращение несанкционированного доступа из одного контейнера к ресурсам других контейнеров и хостовой операционной системы.
Требования к реализации: В контейнерной среде должны обеспечиваться:
изоляция областей памяти, относящихся к различным контейнерам;
недоступность записи в корневую файловую систему хостовой операционной системы для программного обеспечения, выполняемого внутри контейнера;
ограничение прав программного обеспечения, выполняемого внутри контейнера, на использование периферийных устройств, устройств хранения данных и съемных машинных носителей информации (блочных устройств), входящих в состав информационной системы;
ограничение прав программного обеспечения, выполняемого внутри контейнера, на использование вычислительных ресурсов (оперативной памяти, операций ввода-вывода за период времени) хостовой операционной системы.
Указанные меры защиты информации реализуются за счет применения в информационной системе встроенных в средства контейнеризации и хостовые операционные системы механизмов безопасности.
Требования к документированию: Не предъявляются.
Требования к усилению:
должна обеспечиваться:
изоляция пространств идентификаторов процессов контейнеров;
изоляция пространств имен для межпроцессного взаимодействия контейнеров;
изоляция пространств имен для пользователей и групп контейнеров;
изоляция пространств имен хостов и доменов контейнеров;
изоляция сетевых пространств имен контейнеров;
изоляция пространств имен для иерархии каталогов контейнеров.
Реализация в информационной системе:
ЗКО.5
К3 + К2 + К1 +
Усиление ЗКО.5
К3 К2 1 К1 1
ЗКО.6 Идентификация и аутентификация в контейнерной среде
Цель: Исключение несанкционированного доступа субъектов доступа, не прошедших идентификацию и аутентификацию, к объектам доступа в контейнерной среде.
Требования к реализации: Должна обеспечиваться в соответствии с мерами защиты информации ИАФ.1, ИАФ.3 идентификация и аутентификация пользователей, реализующих следующие роли в контейнерной среде:
- разработчик образов контейнеров;
- администратор безопасности средств контейнеризации;
- администратор средств контейнеризации;
- администратор хостовой операционной системы.
Указанная мера защиты информации реализуется за счет применения в информационной системе встроенных в средства контейнеризации и хостовые операционные системы механизмов безопасности.
Требования к документированию: В эксплуатационной документации на информационную систему должен быть определен порядок идентификации и аутентификации субъектов доступа в контейнерной среде.
Требования к усилению:
должна обеспечиваться идентификация в контейнерной среде следующих объектов доступа:
образы контейнеров;
контейнеры;
средства контейнеризации.
Реализация в информационной системе:
ЗКО.6
К3 + К2 + К1 +
Усиление ЗКО.6
К3 К2 К1
ЗКО.7 Управление контейнерами и их образами (оркестрация)
Цель: Обеспечение централизованного управления контейнерами и их образами в контейнерной среде.
Требования к реализации: В контейнерной среде должны обеспечиваться:
создание, модификация, хранение, получение и удаление образов контейнеров;
инвентаризация контейнеров и их образов;
управление размещением и перемещением файлов-образов контейнеров между носителями (системами хранения данных);
управление размещением и перемещением исполняемых контейнеров между серверами контейнеризации;
управление размещением и перемещением данных, обрабатываемых с использованием контейнеров, между носителями (системами хранения данных).
В контейнерной среде должен обеспечиваться контроль за перемещением исполняемых контейнеров за пределы информационной системы (сегментов информационной системы) и (или) информационно-телекоммуникационной инфраструктуры, на базе которой они функционируют.
Управление образами контейнеров должно обеспечивать размещение образов контейнеров, запускаемых в рамках информационной системы, только на ресурсах технических средств, входящих в состав информационной системы.
Указанные меры защиты информации реализуются за счет применения в информационной системе встроенных в средства контейнеризации и хостовые операционные системы механизмов безопасности.
Требования к документированию: Не предъявляются.
Требования к усилению: Не предъявляются.
Реализация в информационной системе:
ЗКО.7
К3 + К2 + К1 +
Усиление ЗКО.7
К3 К2 К1
ЗКО.8 Выявление и устранение уязвимостей в контейнерной среде
Цель: Предотвращение несанкционированного доступа к контейнерной среде за счет эксплуатации уязвимостей образов контейнеров.
Требования к реализации: При применении средств контейнеризации должны обеспечиваться:
выявление известных уязвимостей при создании, установке в информационную систему и хранении образов контейнеров во взаимодействии со средством контроля и анализа защищенности на основе сведений, содержащихся в банке данных угроз безопасности информации ФСТЭК России, а также в иных источниках, содержащих сведения об известных уязвимостях;
оповещение о выявленных уязвимостях администратора безопасности информационной системы.
устранение выявленных уязвимостей образов контейнеров.
Выявление известных уязвимостей в образах контейнеров должно осуществляться не реже одного раза в месяц.
Требования к документированию: В эксплуатационной документации на информационную систему должен быть определен порядок выявления и устранения уязвимостей в образах контейнеров.
Требования к усилению:
1. выявление известных уязвимостей в образах контейнеров должно осуществляться не реже одного раза в неделю;
2. должно быть запрещено создание образов контейнеров, содержащих известные уязвимости критического и высокого уровня опасности, или, в случае невозможности устранения уязвимостей, в их отношении должны быть приняты меры, предотвращающие их эксплуатацию.
Реализация в информационной системе:
ЗКО.8
К3 + К2 + К1 +
Усиление ЗКО.8
К3 К2 1,2 К1 1,2

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.