Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Состав и содержание мероприятий и мер по защите информации, содержащейся в информационных системах

Методическая документация ФСТЭК

4.7. Защита веб-технологий (ЗВТ)

Для проведения оценки соответствия по документу войдите в систему.

Список требований

4. Меры по защите информационных систем и содержащейся в них информации
4.7. Защита веб-технологий (ЗВТ)
ЗВТ.1 Защита пользовательских данных
Цель: Обеспечение защиты пользовательских данных, передаваемых, обрабатываемых и хранящихся в составе веб-приложения.
Требования к реализации: Сетевое информационное взаимодействие между субъектами доступа и объектами доступа (пользователями и приложениями) должно осуществляться посредством программного интерфейса приложений, защита данных в котором обеспечивается в соответствии с мерой защиты информации ЗПИ.1.
Доступ субъектов доступа к пользовательским данным, хранящимся в веб-приложении, а также доступ к функциям веб-приложения должен осуществляться в соответствии с мерой защиты информации УПД.2.
Сетевое взаимодействие между субъектами и объектами доступа (пользователями и приложениями) должно осуществляться с учетом мер защиты информации ЗКС.1 ‒ ЗКС.5.
Требования к документированию: В эксплуатационной документации на информационную систему должны быть определены:
объекты доступа, содержащиеся в веб-приложении;
перечень типов пользователей веб-приложения.
Требования к усилению:
1. в информационной системе должно быть исключено кэширование пользовательских данных, определяемых оператором, в веб-браузере (например, путем использования соответствующих директив заголовков Cache-Control, Pragma протокола передачи гипертекста);
2. в информационной системе должны быть отключены функции автоматического заполнения форм (например, путем установления соответствующего значения атрибута Autocomplete протокола передачи гипертекста) для полей, предназначенных для ввода пользовательских данных, определяемых оператором;
3. в информационной системе должна обеспечиваться защита пользовательских данных от компрометации посредством межсайтового скриптинга путем настойки соответствующих заголовков безопасности протокола передачи гипертекста;
4. в информационной системе должна обеспечиваться защита пользовательских данных от компрометации посредством подмены (перекрытия) элементов графического интерфейса путем контроля вложенности контекстов отображения.
Реализация в информационной системе:
ЗВТ.1
К3 + К2 + К1 +
Усиление ЗВТ.1
К3 К2 К1
ЗВТ.2 Управление доступом пользователей
Цель: Исключение несанкционированного доступа к объектам доступа, содержащимся в веб-приложении информационной системы (информационной инфраструктуры оператора).
Требования к реализации: В информационной системе должны быть обеспечены:
- идентификация и аутентификация пользователей веб-приложения, системы управления контентом веб-приложения в соответствии с мерами защиты информации ИАФ.1, ИАФ.3;
- управление доступом пользователей к функциям и данным, хранящимся в веб-приложении, а также в системе управления контентом веб-приложения, в соответствии с мерами защиты информации УПД.1 ‒ УПД.6;
- ограничение числа параллельных сеансов доступа к веб-приложению в соответствии с мерой защиты информации УПД.7;
- автоматическое завершение сеансов доступа к веб-приложению при неактивности в соответствии с мерой защиты информации УПД.8;
- проверка прав доступа субъектов доступа при каждом обращении (запросе) к функциям или данным веб-приложения, включая обработку запросов на чтение и модификацию данных, вызов API-методов, загрузку файлов, за исключением определенных общедоступных ресурсов в соответствии с мерой защиты информации УПД.9.
Возможность идентификации и аутентификации пользователя только на стороне пользователя веб-приложения (например, проверка доступа на уровне JavaScript-кода в веб-браузере) должна быть исключена.
Требования к документированию: Не предъявляются.
Требования к усилению:
1. идентификация и аутентификация привилегированных пользователей (администраторов, администраторов безопасности) веб-приложения должны осуществляться с использованием ввода второго фактора при использовании многофакторной аутентификации в составе информационной системы в соответствии с мерами защиты информации ИАФ.1, ИАФ.3.
Реализация в информационной системе:
ЗВТ.2
К3 + К2 + К1 +
Усиление ЗВТ.2
К3 К2 1 К1 1
ЗВТ.3 Контроль и фильтрация трафика веб-приложений
Цель: Обеспечение контроля и фильтрации сетевого трафика веб-приложений.
Требования к реализации: В информационной системе должна быть обеспечена возможность автоматического контроля и фильтрации сетевого трафика веб-приложения, поступающего по сетевому интерфейсу программного взаимодействия с веб-приложением, в соответствии с мерой защиты информации ЗПИ.3.
Контроль и фильтрация данных пользовательских запросов должны быть направлены на обнаружение, как минимум, следующих событий:
- нарушение содержащимися в запросе пользователя данными установленных в информационной системе ограничений по типу, размеру, формату и допустимому содержимому (схемы запроса);
- включение в состав запроса управляющих символов и конструкций, способных изменить логику обработки веб-приложением пользовательских запросов (например, SQL-запросы, JavaScript-код, системные команды);
- включение в состав запроса аутентификаторов доступа или иной чувствительной информации в открытом виде;
- формирование запросов автоматизированными инструментальными средствами поиска и эксплуатации уязвимостей веб-приложений;
- формирование запросов автоматизированными инструментальными средствами перебора (подбора) аутентификационной информации.
Контроль и фильтрация сетевого трафика веб-приложения должны обеспечиваться на основе как минимум следующих атрибутов пользовательского запроса протокола передачи гипертекста:
- унифицированный идентификатор запрошенного информационного ресурса;
- веб-метод запроса;
- значения заголовков запроса;
- наименования и значения параметров запроса;
- идентификатор веб-клиента (набор значений заголовков атрибутов веб-клиента).
Контроль и фильтрация сетевого трафика веб-приложений, использующих расширения протокола передачи гипертекста и иные версии прикладных протоколов (например, протокол WebSocket), должны обеспечиваться на основе атрибутов, описанных во внутреннем стандарте, содержащем требования к типовым конфигурациям и настройкам программных, программно-аппаратных средств.
Для веб-приложений, доступных из сети «Интернет», указанные меры защиты информации должны быть реализованы с использованием межсетевого экрана уровня веб-сервера, или многофункционального межсетевого экрана уровня сети.
Требования к документированию: Не предъявляются.
Требования к усилению:
1. в информационной системе контроль и фильтрация трафика веб-приложений должны осуществляться в том числе методом анализа вложений (полезной нагрузки) пользовательских запросов;
2. в информационной системе должны выявляться события, связанные с нарушениями в пользовательских запросах спецификации протокола передачи гипертекста и ограничений на структуру пользовательского запроса.
Реализация в информационной системе:
ЗВТ.3
К3 + К2 + К1 +
Усиление ЗВТ.3
К3 К2 К1 1
ЗВТ.4 Регистрация событий безопасности в веб-приложениях и реагирование на них
Цель: Определение состава и содержания информации о событиях безопасности, подлежащих регистрации в веб-приложениях.
Требования к реализации: В информационной системе в соответствии с мерами защиты информации РСБ.1 ‒ РСБ.5 должна быть обеспечена регистрация событий безопасности, связанных с попытками доступа субъектов доступа к объектам доступа веб-приложения в соответствии с мерами защиты информации УПД.1 ‒ УПД.9.
В информационной системе должна быть обеспечена регистрация событий безопасности на уровне межсетевого экрана уровня веб-сервера и (или) многофункционального межсетевого экрана уровня сети, обеспечивающего контроль и фильтрацию сетевого трафика веб-приложения.
На уровне веб-приложения дополнительно должна осуществляться регистрация следующих типов событий безопасности:
- события безопасности, связанные с идентификацией и аутентификацией пользователей веб-приложений;
- события безопасности, связанные с управлением учетными записями пользователей веб-приложения (для веб-приложений, допускающих такие изменения);
- события безопасности, связанные с изменением типов субъектов доступа, типов объектов доступа (для веб-приложений, допускающих такие изменения);
- события безопасности, связанные с изменением типов доступа субъектов доступа к объектам доступа, в том числе к функциям веб-приложений (для веб-приложений, допускающих такие изменения);
- события безопасности, связанные с ограничением числа параллельных сеансов доступа к веб-приложению;
- события безопасности, связанные с автоматическим завершением сеансов доступа к веб-приложению при неактивности;
- события безопасности, связанные с изменениями параметров настроек веб-приложения.
На уровне межсетевого экрана уровня веб-сервера и (или) многофункционального межсетевого экрана уровня сети, обеспечивающего контроль и фильтрацию сетевого трафика веб-приложения, должна осуществляться регистрация следующих типов событий безопасности:
- события безопасности, связанные с фильтрацией сетевого трафика;
- события безопасности, связанные с обнаружением признаков вредоносного воздействия на веб-приложение.
В информационной системе должна обеспечиваться передача зарегистрированных событий безопасности в систему управления событиями безопасности информации, функционирующую в информационной системе.
В информационной системе по результатам анализа событий безопасности должно обеспечиваться автоматическое реагирование на них посредством:
блокирования сетевого сеанса взаимодействия с веб-приложением для событий безопасности, определенных оператором;
уведомления администратора (администратора безопасности) информационной системы о факте и причинах блокирования сетевого сеанса.
Требования к документированию: В эксплуатационной документации на информационную систему должны быть определены:
перечень веб-приложений, для которых должна быть настроена регистрация событий безопасности;
перечень средств защиты информации, осуществляющих регистрацию событий безопасности, связанных с веб-приложением;
минимальный перечень событий безопасности, подлежащих регистрации.
Требования к усилению: Не предъявляются.
Реализация в информационной системе:
ЗВТ.4
К3 + К2 + К1 +
Усиление ЗВТ.4
К3 К2 К1
ЗВТ.5 Проверка файлов, передаваемых веб-приложениями, на вредоносное программное обеспечение
Цель: Обеспечение антивирусной защиты веб-приложений информационной системы, включающее:
обнаружение компьютерных программ либо иной компьютерной информации, предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, сокрытия присутствия другого вредоносного программного обеспечения в информационной системе, сокрытия свидетельств несанкционированного доступа к любым ресурсам информационной системы;
обеспечение реагирования на обнаружение вредоносного программного обеспечения.
Требования к реализации: Должна обеспечиваться проверка всех файлов, передаваемых веб-приложениями, на вредоносное программное обеспечение в соответствии с мерой защиты информации АВЗ.1.
Проверка должна включать анализ всех передаваемых в теле запроса файлов, а также составляющих тело запроса скриптов и данных, поступающих в веб-приложение.
Должен быть исключен автоматический запуск переданных файлов в операционной системе на стороне веб-приложения или пользователя (например, путем осуществления фильтрации исполняемых файлов, определения соответствия типа файла его содержимому, предотвращения маскирования исполняемых файлов под иные форматы).
Требования к документированию: Не предъявляются.
Требования к усилению:
в информационной системе должна обеспечиваться возможность проведения ретроспективного анализа файлов.
Реализация в информационной системе:
ЗВТ.5
К3 + К2 + К1 +
Усиление ЗВТ.5
К3 К2 К1

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.