Меры приказов ФСТЭК России. ПАК СЗИ НСД «Аккорд-АМДЗ»

Таблица 1 – Выполнение базового набора мер по защите информации 17-го и 21-го приказов ФСТЭК России по защите информации в информационной системе путем применения комплекса СЗИ НСД «Аккорд-АМДЗ»

Таблица 2 – Выполнение дополнительных (не включенных в базовый набор) мер по защите информации 17-го и 21-го приказов ФСТЭК России по защите информации в информационной системе путем применения СЗИ НСД «Аккорд-АМДЗ»

Таблица 3 – Выполнение базового набора мер по защите информации 31-го приказа ФСТЭК России по защите информации в автоматизированной системе управления путем применения ПАК СЗИ от НСД «Аккорд‑АМДЗ»

Таблица 4 – Выполнение дополнительных (не включенных в базовый набор) мер по защите информации 31‑го приказа ФСТЭК России по защите информации в автоматизированной системе управления путем применения комплекса «Аккорд-АМДЗ»

 

Выполнение базового набора мер, определенных 17-ым и 21-ым приказами ФСТЭК России по защите информации в информационной системе, путем применения комплекса СЗИ НСД «Аккорд-АМДЗ»

В таблице № 1 представлено описание выполнения базового набора мер 17-го и 21-го приказов ФСТЭК России по защите информации в информационной системе путем применения комплекса «Аккорд-АМДЗ» (ТУ 26.20.40.140-079-37222406-2019, ТУ 4012-054-11443195-2013, ТУ 4012-038-11443195-2011).

Выражение «все» в ячейках столбца «Уровни защищенности ПДн» означает, что рассматриваемая мера должна быть реализована в информационной системе с любым уровнем защищенности персональных данных.

Выражение «все» в ячейках столбца «Классы защищенности ИС» означает, что рассматриваемая мера должна быть реализована в информационной системе с любым классом защищенности.

Таблица 1 – Выполнение базового набора мер по защите информации 17-го и 21-го приказов ФСТЭК России по защите информации в информационной системе путем применения комплекса СЗИ НСД «Аккорд-АМДЗ»

Усл. обозн.

Содержание мер по обеспечению безопасности персональных данных

Уровни защищенности ПДн

Классы защищенности ИС

«Аккорд-АМДЗ»

Ссылки на документацию

 

 

Идентификация и аутентификация субъектов и объектов доступа (ИАФ)

 

 

 

 

1              

ИАФ.1

Идентификация и аутентификация пользователей, являющихся работниками оператора

+

все

+

все

В ПАК СЗИ от НСД «Аккорд-АМДЗ» идентификация осуществляется по аппаратному идентификатору, аутентификация осуществляется паролю.

1. п.п. 3.2 документа «Аккорд‑АМДЗ. Руководство администратора»;

2. п.п. 3.1.1, 3.1.2 документа «Аккорд‑АМДЗ. Руководство пользователя».

2              

ИАФ.2

Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных

+

начиная со 2 уровня защищенности ПДн

+

начиная со 2 класса защищенности ИС

В ПАК СЗИ от НСД «Аккорд-АМДЗ» осуществляется идентификация стационарных устройств СВТ, при процедуре контроля целостности конфигурации технических средств СВТ.

1. п.п. 3.10, 3.12 документа «Аккорд‑АМДЗ. Руководство администратора».

3              

ИАФ.3

Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов

+

все

+

все

Управление идентификаторами учетных записей производится в административном режиме АМДЗ в разделе «Пользователи».

Возможные операции: создание, удаление, блокировка, редактирование свойств учетной записи; создание, присвоение, удаление аппаратных идентификаторов.

1. п.п. 3.2 документа «Аккорд‑АМДЗ. Руководство администратора».

4              

ИАФ.4

Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации

+

все

+

все

Управление паролями и аппаратными идентификаторами учетных записей пользователей производится в административном режиме АМДЗ в разделе «Пользователи».

1. п.п. 3.2 документа «Аккорд‑АМДЗ. Руководство администратора».

5              

ИАФ.5

Защита обратной связи при вводе аутентификационной информации

+

все

+

все

При вводе пароля (при авторизации в АМДЗ), пароль отображается звездочками.

1. п.п. 3.1.2 документа «Аккорд‑АМДЗ. Руководство пользователя».

6              

ИАФ.6

Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)

+

все

+

все

Обеспечивается при условии совместного применения комплекса с СПО разграничения доступа (СПО «Аккорд‑Win64 K», СПО «Аккорд‑X K») либо при применении ПАК «Аккорд‑X», в состав которого сходит «Аккорд‑АМДЗ».

 

 

 

Управление доступом субъектов доступа к объектам доступа (УПД)

 

 

 

 

7              

УПД.1

Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей

+

все

+

все

Управление учетными записями производится в административном режиме АМДЗ в разделе «Пользователи».

Возможные операции: создание, удаление, блокировка, редактирование свойств учетной записи; создание, присвоение, удаление аппаратных идентификаторов.

Возможно задание временных ограничений на доступ пользователей к АМДЗ в соответствии с установленным для них режимом работы.

1. п.п. 3.3 документа «Аккорд‑АМДЗ. Руководство администратора».

8              

УПД.2

Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа

+

все

+

все

Ролевой метод реализован в виде групп пользователей АМДЗ.

1. п.п. 3.3.1 документа «Аккорд‑АМДЗ. Руководство администратора».

9              

УПД.4

Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы

+

все

+

все

В памяти контроллера АМДЗ хранятся имена пользователей и их полномочия. После прохождения процедуры ИА пользователей, встроенное ПО контроллера определяет дальнейший режим загрузки по результатам данной процедуры. Администрирование АМДЗ может проводить только пользователь, зарегистрированный группе «Администраторы» и имеющий абсолютные полномочия (супервизора).

Если пользователь принадлежит к группе «Администраторы», то следующим шагом при загрузке будет отображено меню, которое определяет возможность администрирования АМДЗ (регистрацию пользователей и персональных идентификаторов, назначение файлов для контроля целостности, контроль аппаратной части ПЭВМ, просмотр системного журнала). Администратор безопасности информации вручную выставляет параметры безопасности, руководствуясь необходимыми нормативными и служебными документами. Если пользователь принадлежит к группе «Пользователи», то меню администрирования не отображается и происходит загрузка ОС в соответствии с полномочиями данного пользователя.

1. п.п. 3.3.2, 3.3.3 документа «Аккорд‑АМДЗ. Руководство администратора».

10            

УПД.5

Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы

+

все

+

все

11            

УПД.6

Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе)

+

все

+

все

Комплекс «Аккорд‑АМДЗ» обеспечивает блокирование персонального идентификатора, с которого предпринимаются попытки доступа, при превышении пользователем ограничения количества неуспешных попыток входа в информационную систему.

1. п.п. 3.12.1 документа «Аккорд‑АМДЗ. Руководство администратора».

12            

УПД.9

Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы

не входит в базовый набор мер

+

начиная с 1 класса защищенности ИС

Для каждой учетной записи возможно инициировать только один сеанс работы.

 

13            

УПД.10

Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу

+

начиная с 3 уровня защищенности ПДн

+

все

В комплексе имеется возможность установки сторожевого таймера – времени, которое предоставляется пользователю для предъявления идентификатора и пароля.

Также в комплексе имеется возможность установки параметра «Автоматическое выключение ЭВМ», то если по истечении заданного интервала времени (за данный интервал времени отвечает параметр «Таймаут для идентификатора») идентификатор пользователя не был предъявлен, ЭВМ автоматически выключается.

1. п.п. 3.12.4, 3.12.1 документа «Аккорд‑АМДЗ. Руководство администратора».

14            

УПД.11

Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации

+

начиная с 3 уровня защищенности ПДн

+

все

До проведения идентификации и аутентификации пользователю запрещены любые действия кроме ввода идентификационной и аутентификационной информации, предъявления аппаратного идентификатора, смены пользователя.

1. п.п. 3.2 документа «Аккорд‑АМДЗ. Руководство пользователя».

15            

УПД.15

Регламентация и контроль использования в информационной системе мобильных технических устройств

+

все

+

все

Обеспечивается при условии совместного применения комплекса с СПО разграничения доступа (СПО «Аккорд‑Win64 K», СПО «Аккорд‑X K») либо при применении ПАК «Аккорд‑X», в состав которого сходит «Аккорд‑АМДЗ».

1. п.п. 3.4.13 документа «Аккорд-Х. Руководство администратора»;

2. п.п 3.2.12 документа «Аккорд-Х K. Руководство администратора»;

3. п.п. 7.16 документа «Аккорд-Win64 K. Установка правил разграничения доступа. Программа ACED32».

16            

УПД.17

Обеспечение доверенной загрузки средств вычислительной техники[1]

+

начиная со 2 уровня защищенности ПДн

+

начиная со 2 класса защищенности ИС

Комплекс обеспечивает исключение несанкционированного доступа к программным и техническим ресурсам средства вычислительной техники информационной системы на этапе его загрузки.

Функционирование подсистемы безопасности доверенной загрузки тесно связано с результатами выполнения процедур в других подсистемах СДЗ, например:

–     в случае заполнения журнала регистрации событий на 95% в подсистеме аудита, осуществляется блокировка загрузки ОС;

–     при превышении числа попыток идентификации/аутентификации в подсистеме идентификации и аутентификации осуществляется блокировка загрузки ОС;

–     при нарушении целостности СДЗ при выполнении процедур подсистемы самотестирования осуществляется блокировка загрузки ОС;

–     при нарушении целостности загружаемой программной среды и состава аппаратных компонентов в подсистеме контроля целостности осуществляется блокировка загрузки ОС.

1. п.п. 1.1, 3.10 документа «Аккорд‑АМДЗ. Руководство администратора».

 

 

Ограничение программной среды (ОПС)

 

 

 

 

17            

ОПС.1

Управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспечения

не входит в базовый набор мер

+

в 1 классе защищенности ИС

Обеспечивается при условии совместного применения комплекса с СПО разграничения доступа (СПО «Аккорд‑Win64 K», СПО «Аккорд‑X K») либо при применении ПАК «Аккорд‑X», в состав которого сходит «Аккорд‑АМДЗ».

1. п.п. 3.4.7, 3.4.8, 5.2 документа «Аккорд-Х. Руководство администратора»;

2. п.п 3.2.7, 3.2.8, 5.2 документа «Аккорд-Х K. Руководство пользователя»;

3. п.п. 7.12 документа «Аккорд-Win64 K. Установка правил разграничения доступа. Программа ACED32».

 

 

Защита машинных носителей персональных данных (ЗНИ)

 

 

 

 

18            

ЗНИ.2

Управление доступом к машинным носителям персональных данных

+

начиная со 2 уровня защищенности ПДн

+

все

Доступ к машинным носителям СВТ осуществляется, только после прохождения всех этапов доверенной загрузки, реализуемой СЗИ от НСД «Аккорд-АМДЗ».

 

19            

ЗНИ.5

Контроль использования интерфейсов ввода (вывода) информации на машинные носители персональных данных

не входит в базовый набор мер

+

начиная со 2 класса защищенности ИС

Обеспечивается при условии совместного применения комплекса с СПО разграничения доступа (СПО «Аккорд‑Win64 K», СПО «Аккорд‑X K») либо при применении ПАК «Аккорд‑X», в состав которого сходит «Аккорд‑АМДЗ».

1. п.п. 3.4.13 документа «Аккорд-Х. Руководство администратора»;

2. п.п 3.2.12 документа «Аккорд-Х K. Руководство администратора»;

3. п.п. 7.16 документа «Аккорд-Win64 K. Установка правил разграничения доступа. Программа ACED32».

20            

ЗНИ.8

Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания

+

все

+

все

Обеспечивается при условии совместного применения комплекса с СПО разграничения доступа (СПО «Аккорд‑Win64 K», СПО «Аккорд‑X K») либо при применении ПАК «Аккорд‑X», в состав которого сходит «Аккорд‑АМДЗ».

1. п.п. 3.4.2, 5.2 документа «Аккорд-Х. Руководство администратора»;

2. п.п 3.2.2, 5.2 документа «Аккорд-Х K. Руководство администратора»;

3. п.п. 7.13 документа «Аккорд-Win64 K. Установка правил разграничения доступа. Программа ACED32».

 

 

Регистрация событий безопасности (РСБ)

 

 

 

 

21            

РСБ.1

Определение событий безопасности, подлежащих регистрации, и сроков их хранения

+

все

+

все

Журнал регистрации событий Аккорд-АМДЗ содержит следующую информацию:

‒     дата и время регистрации события;

‒     имя пользователя, совершившего событие;

‒     тип операции – в таблице выводится краткое описание события;

‒     результат события.

В случае совместного применения комплекса и СПО разграничения доступа имеется возможность регулирования детальности ведения журнала.

1. п.п. 3.11 документа «Аккорд‑АМДЗ. Руководство администратора».

22            

РСБ.2

Определение состава и содержания информации о событиях безопасности, подлежащих регистрации

+

все

+

все

При регистрации событий фиксируется исчерпывающий набор параметров: дата и время, идентификатор субъекта, идентификатор объекта, тип выполняемой операции, результат операции.

23            

РСБ.3

Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения

+

все

+

все

Комплекс обеспечивает сбор, запись и хранение следующих системных событий и действий пользователей:

–    начало сеанса пользователя;

–    прохождение процедуры аутентификации пользователя;

–    осуществление контроля целостности аппаратуры ПЭВМ;

–    осуществление контроля целостности отдельных файлов и программных средств ПЭВМ;

–    осуществление контроля целостности системных областей жестких дисков (секторов);

–    осуществление контроля целостности системного реестра (для ОС семейства Microsoft Windows);

–    создание журнала системных событий и действий пользователей;

–    изменение полномочий пользователей.

24            

РСБ.4

Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти

не входит в базовый набор

+

все

Если заполнение журнала превышает 85%, при загрузке компьютера выдается предупреждение, но загрузка продолжается. Если заполнение журнала превышает 95%, то загрузка для пользователя блокируется, и требуется вмешательство администратора.

1. п.п. 3.11 документа «Аккорд‑АМДЗ. Руководство администратора».

25            

РСБ.5

Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них

+

начиная со 2 уровня защищенности ПДн

+

все

Комплекс обеспечивает просмотр администратору зарегистрированных в журнале событий безопасности, экспорт журнала в текстовый файл и очистку журнала.

1. п.п. 3.11, 3.14.3 документа «Аккорд‑АМДЗ. Руководство администратора».

26            

РСБ.7

Защита информации о событиях безопасности

+

все

+

все

Доступ к записям аудита и функциям управления механизмами регистрации (аудита) предоставляется только уполномоченным должностным лицам (администраторам АМДЗ).

 

 

 

Контроль (анализ) защищенности персональных данных (АНЗ)

 

 

 

 

27            

АНЗ.1

Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей

+

все

+

все

Устранение уязвимостей комплекса выполняется путем установки обновлений программного обеспечения средств защиты информации.

Обновление ПО (firmware) модуля доверенной загрузки выполняется в сервисном центре Разработчика ПО.

1. п. 6 документа «Аккорд‑АМДЗ. Формуляр».

28            

АНЗ.2

Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации

+

все

+

все

Комплекс обеспечивает возможность установки обновлений программного обеспечения СЗИ от НСД.

29            

АНЗ.3

Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации

+

начиная с 3 уровня защищенности ПДн

+

все

Реализована функция самотестирования функционала СЗИ НСД перед стартом.

1. п.п. 3.16 документа «Аккорд‑АМДЗ. Руководство администратора».

30            

АНЗ.4

Контроль состава технических средств, программного обеспечения и средств защиты информации

+

начиная с 3 уровня защищенности ПДн

+

все

С помощью «Аккорд-АМДЗ» производится контроль целостности системных областей жестких дисков, программ и данных, конфигурации технических средств ПЭВМ, а также программных средств СЗИ НСД.

В комплексе обеспечивается регистрация событий безопасности, связанных с изменением состава технических средств, программного обеспечения и средств защиты информации.

1. п.п. 3.10 документа «Аккорд‑АМДЗ. Руководство администратора»;

2. п.п. 3.1 документа «Аккорд‑АМДЗ. Руководство пользователя».

31            

АНЗ.5

Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступа, полномочий пользователей в информационной системе

+

начиная со 2 уровня защищенности ПДн

+

все

Настраивается в Параметрах Пользователей.

Параметры пароля включают в себя следующие поля:

‒     «Кто может менять пароль» - установка этого параметра позволяет пользователю самому менять пароль после истечения времени действия, или смену пароля может осуществлять только администратор.

‒     «Минимальная длина» -параметр определяет количество символов, контролируемое при создании и смене пароля. Нельзя ввести пароль меньшей длины. Если для авторизации пользователя предполагается использовать только идентификатор, этот параметр нужно установить равным 0 (пароль задавать необязательно). По умолчанию длина пароля установлена равной 8 символам, максимальное допустимое значение - 12 символов.

‒     «Время действия (дни)» - время действия пароля до смены в календарных днях: от 0 (смены пароля не требуется) до 366 дней.

‒     «Попыток для смены» - количество попыток смены пароля: от 0 (не ограничено) до 5. Этот параметр определяет допустимое число попыток смены пароля, если пользователю разрешено самому выполнять такую операцию. Если за отведенное число попыток пароль не сменен корректно, выполняется перезагрузка компьютера.

‒     «Алфавит пароля» - определяет набор символов, которые обязательно должны использоваться при вводе пароля. Например, если в алфавите заданы цифры и буквы, то нельзя ввести пароль, состоящий из одних цифр. При установке флага «Только генерировать» пароль будет генерироваться случайным образом из символов заданного алфавита при смене пароля пользователя.

1. п.п. 3.3.2-3.3.5 документа «Аккорд‑АМДЗ. Руководство администратора».

 

 

Обеспечение целостности информационной системы и персональных данных (ОЦЛ)

 

 

 

 

32            

ОЦЛ.1

Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации

+

начиная со 2 уровня защищенности ПДн

+

начиная со 2 класса защищенности ИС

С помощью «Аккорд-АМДЗ» производится контроль целостности системных областей жестких дисков, программ и данных, конфигурации технических средств ПЭВМ, а также программных средств СЗИ НСД.

1. п.п. 3.10 документа «Аккорд‑АМДЗ. Руководство администратора»;

2. п.п. 3.1 документа «Аккорд‑АМДЗ. Руководство пользователя».

33            

ОЦЛ.3

Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций

не входит в базовый набор мер

+

все

Реализована функция сохранения резервной копии конфигурации СЗИ НСД.

Аппаратная часть комплекса СЗИ НСД «Аккорд-АМДЗ» имеет в составе внутреннего ПО функции резервного копирования на гибкий магнитный диск и восстановления базы данных пользователей и списка контролируемых объектов.

1. п.п. 3.14 документа «Аккорд‑АМДЗ. Руководство администратора».

34            

ОЦЛ.6

Ограничение прав пользователей по вводу информации в информационную систему

не входит в базовый набор мер

+

начиная 1 класса защищенности ИС

Обеспечивается при условии совместного применения комплекса с СПО разграничения доступа (СПО «Аккорд‑Win64 K», СПО «Аккорд‑X K») либо при применении ПАК «Аккорд‑X», в состав которого сходит «Аккорд‑АМДЗ».

1. п.п. 3.4.6, 3.4.7 документа «Аккорд‑X. Руководство администратора»;

2. п.п. 3.2.6, 3.2.7 документа «Аккорд‑X K. Руководство администратора»;

3. п.п. 7.11 документа «Аккорд-Win64 K. Установка правил разграничения доступа. Программа ACED32».

 

 

Обеспечение доступности персональных данных (ОДТ)

 

 

 

 

35            

ОДТ.3

Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование

+

на 1 уровне защищенности ПДн

+

начиная со 2 класса защищенности ИС

Обеспечивается контроль работоспособности, правильности функционирования программного обеспечения средств защиты информации посредством функции самотестирования функционала СЗИ НСД перед стартом.

1. п.п. 3.16 документа «Аккорд‑АМДЗ. Руководство администратора».

36            

ОДТ.4

Периодическое резервное копирование персональных данных на резервные машинные носители персональных данных

+

начиная со 2 уровня защищенности ПДн

+

начиная со 2 класса защищенности ИС

Комплексом обеспечиваться периодическое резервное копирование информации (базы данных пользователей и списка контролируемых объектов) на резервные машинные носители информации.

1. п.п. 3.14 документа «Аккорд‑АМДЗ. Руководство администратора».

37            

ОДТ.5

Обеспечение возможности восстановления персональных данных с резервных машинных носителей персональных данных (резервных копий) в течение установленного временного интервала

+

начиная со 2 уровня защищенности ПДн

+

начиная со 2 класса защищенности ИС

По команде администратора комплексом обеспечивается возможность восстановления информации (базы данных пользователей и списка контролируемых объектов) с резервных машинных носителей информации (резервных копий).

 

 

Защита среды виртуализации (ЗСВ)

 

 

 

 

38            

ЗСВ.1

Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации

+

все

+

все

Обеспечивается при условии совместного применения комплекса с СПО разграничения доступа (СПО «Аккорд‑Win64 K», СПО «Аккорд‑X K»), СПО «Аккорд‑В.» либо при применении ПАК «Аккорд‑X», в состав которого сходит «Аккорд‑АМДЗ».

1. п.п. 2.1.1, 2.1.2 документа «Аккорд‑X K. Руководство оператора (пользователя)»;

2. п.п. 3.2.9 документа «Аккорд‑X K. Руководство администратора»;

3. п.п. 2.1.1, 2.1.2 документа «Аккорд‑X. Руководство оператора (пользователя)»;

4. п.п. 3.4.3 документа «Аккорд‑X. Руководство администратора».

5. п.п. 2.1.1, 2.1.2 документа «Аккорд‑Win64 K. Руководство пользователя»;

6. п.п. 2.3.1, 2.3.2 документа «Аккорд‑В. Руководство пользователя».

39            

ЗСВ.2

Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин

+

все

+

все

Обеспечивается при условии совместного применения комплекса с СПО разграничения доступа (СПО «Аккорд‑Win64 K», СПО «Аккорд‑X K»), либо при применении ПАК «Аккорд‑X», в состав которого сходит «Аккорд‑АМДЗ».

1. п.п. 3.2.6, 3.2.7, 3.2.10, 3.2.12 документа «Аккорд‑X K. Руководство администратора»;

2. п.п. 3.4.6, 3.4.7, 3.4.10, 3.4.13 документа «Аккорд‑X. Руководство администратора»;

3. п.п. 7.11 документа «Аккорд-Win64 K. Установка правил разграничения доступа. Программа ACED32».

40            

ЗСВ.3

Регистрация событий безопасности в виртуальной инфраструктуре

+

начиная с 3 уровня защищённости ПДн

+

все

Обеспечивается при условии совместного применения комплекса с СПО разграничения доступа (СПО «Аккорд‑Win64 K») либо СПО «Аккорд‑В.».

1. п.п. 5.3, 5.4 документа «Аккорд‑В. Руководство администратора»;

2. документ «Аккорд‑Win64 K. Подсистема регистрации. Программы работы с журналами регистрации».

41            

ЗСВ.6

Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных

+

начиная со 2 уровня защищенности ПДн

+

начиная со 2 класса защищенности ИС

Обеспечивается при условии совместного применения комплекса с СПО «Аккорд‑В.».

1. п.п. 3.7 документа «Аккорд‑В. Руководство по установке».

42            

ЗСВ.7

Контроль целостности виртуальной инфраструктуры и ее конфигураций

+

начиная со 2 уровня защищенности ПДн

+

начиная со 2 класса защищенности ИС

1. п.п. 5.2.4 документа «Аккорд‑В. Руководство администратора».

43            

ЗСВ.8

Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры

+

начиная со 2 уровня защищенности ПДн

+

начиная со 2 класса защищенности ИС

1. п.п. 4 документа «Аккорд‑В. Руководство по установке».

 

 

Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС)

 

 

 

 

44            

ЗИС.1

Разделение в информационной системе функций по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты персональных данных, функций по обработке персональных данных и иных функций информационной системы

+

на 1 уровне защищенности ПДн

+

начиная со 2 класса защищенности ИС

В «Аккорд-АМДЗ» реализован ролевой метод разграничения доступа. Пользователи делятся на «Администраторов» комплекса и «Пользователей».

1. п.п. 3.3.1 документа «Аккорд‑АМДЗ. Руководство администратора».

45            

ЗИС.5

Запрет несанкционированной удаленной активации видеокамер, микрофонов и иных периферийных устройств, которые могут активироваться удаленно, и оповещение пользователей об активации таких устройств

не входит в базовый набор

+

все

Обеспечивается при условии совместного применения комплекса с СПО разграничения доступа (СПО «Аккорд‑Win64 K», СПО «Аккорд‑X K») либо при применении ПАК «Аккорд‑X», в состав которого сходит «Аккорд‑АМДЗ».

Возможно исключение несанкционированного использования USB-принтеров – регулируется посредством назначения пользователю (или группе пользователей) соответствующих правил разграничения доступа.

1. п.п. 3.4.13 документа «Аккорд-Х. Руководство администратора»;

2. п.п 3.2.12 документа «Аккорд-Х K. Руководство администратора»;

3. п.п. 7.11.1 документа «Аккорд-Win64 K. Установка правил разграничения доступа. Программа ACED32».

46            

ЗИС.15

Защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки персональных данных

+

начиная со 2 уровня защищенности ПДн

+

начиная со 2 класса защищенности ИС

Производится контроль целостности программных средств СЗИ НСД (по умолчанию) и всех компонентов. Возможен контроль целостности файлов других приложений, файлов с данными и пр.

1. п.п. 3.10 документа «Аккорд‑АМДЗ. Руководство администратора».

47            

ЗИС.21

Исключение доступа пользователя к информации, возникшей в результате действий предыдущего пользователя через реестры, оперативную память, внешние запоминающие устройства и иные общие для пользователей ресурсы информационной системы

нет

+

в 1 классе защищенности ИС

Комплекс обеспечивает очистку баз данных при необходимости передаче компьютера в другое подразделение, где есть собственный администратор БИ и иной состав пользователей либо при утере идентификатора администратора. Для этого в комплексе реализована функция аппаратной очистки баз данных.

1. п. 4 документа «Аккорд‑АМДЗ. Руководство администратора».

48            

ЗИС.30

Защита мобильных технических средств, применяемых в информационной системе

нет

+

все

Обеспечивается при условии совместного применения комплекса с СПО разграничения доступа (СПО «Аккорд‑Win64 K», СПО «Аккорд‑X K») либо при применении ПАК «Аккорд‑X», в состав которого сходит «Аккорд‑АМДЗ».

1. п.п. 3.4.13 документа «Аккорд-Х. Руководство администратора»;

2. п.п 3.2.12 документа «Аккорд-Х K. Руководство администратора»;

3. п.п. 7.16 документа «Аккорд-Win64 K. Установка правил разграничения доступа. Программа ACED32».

 

 

Выявление инцидентов и реагирование на них (ИНЦ)

 

 

 

 

49            

ИНЦ.2

Обнаружение, идентификация и регистрация инцидентов

+

начиная со 2 уровня защищенности ПДн

нет

Комплекс обеспечивает фиксацию операций с доступом к объектам, операции смены субъекта доступа, операции И/А.

1. п.п. 3.11 документа «Аккорд‑АМДЗ. Руководство администратора»;

2. Приложение 1 документа «Аккорд‑АМДЗ. Руководство пользователя».

 

Выполнение дополнительных (не включенных в базовый набор) мер, определенных 17-ым и 21-ым приказами ФСТЭК России по защите информации в информационной системе, путем применения СЗИ НСД «Аккорд-АМДЗ»

В таблице № 2 представлено описание выполнения дополнительных (не включенных в базовый набор) мер 17-го и 21-го приказов ФСТЭК России по защите информации в информационной системе путем применения комплекса «Аккорд-АМДЗ» (ТУ 26.20.40.140-079-37222406-2019, ТУ 4012-054-11443195-2013, ТУ 4012-038-11443195-2011).

Выражением «нет» выделены ячейки столбца «Уровни защищенности ПДн», которые относятся к требованиям, содержащимся только в 17-ом приказе ФСТЭК России, и, следовательно, не относящимся к уровням защищенности ПДн.

Таблица 2 - Выполнение дополнительных (не включенных в базовый набор) мер по защите информации 17-го и 21-го приказов ФСТЭК России по защите информации в информационной системе путем применения СЗИ НСД «Аккорд-АМДЗ»

Усл. обозн.

Содержание мер по обеспечению безопасности персональных данных

Уровни защищенности ПДн

Классы защищенности ИС

«Аккорд-АМДЗ»

Ссылки на документацию

 

 

Идентификация и аутентификация субъектов и объектов доступа (ИАФ)

 

 

 

 

1

ИАФ.7

Идентификация и аутентификация объектов файловой системы, запускаемых и исполняемых модулей, объектов систем управления базами данных, объектов, создаваемых прикладным и специальным программным обеспечением, иных объектов доступа

нет

 

Идентификация и аутентификация объектов файловой системы осуществляется на уровне идентификации поддерживаемых файловых систем.

Комплекс поддерживает идентификацию и аутентификацию запускаемых и исполняемых модулей на уровне контроля целостности файлов ОС.

Идентификация объектов систем управления базами данных, объектов, создаваемых прикладным и специальным программным обеспечением осуществляется на уровне контроля целостности файлов реестра.

1. п.п. 1.1, 3.10.3 документа «Аккорд‑АМДЗ. Руководство администратора».

 

 

Управление доступом субъектов доступа к объектам доступа (УПД)

 

 

 

 

2              

УПД.7

Предупреждение пользователя при его входе в информационную систему о том, что в информационной системе реализованы меры по обеспечению безопасности персональных данных, и о необходимости соблюдения установленных оператором правил обработки персональных данных

 

 

Обеспечивается при условии совместного применения комплекса с СПО разграничения доступа (СПО «Аккорд‑Win64 K»).

1. п.п. 2.1.5 документа «Аккорд‑Win64 K. Руководство по установке».

3              

УПД.12

Поддержка и сохранение атрибутов безопасности (меток безопасности), связанных с информацией в процессе ее хранения и обработки

 

 

Обеспечивается при условии совместного применения комплекса с СПО разграничения доступа (СПО «Аккорд‑Win64 K», СПО «Аккорд‑X K») либо при применении ПАК «Аккорд‑X», в состав которого сходит «Аккорд‑АМДЗ».

1. п.п. 3.4.6, 3.4.7, 5.2 документа «Аккорд‑Х. Руководство администратора»;

2. п.п. 3.2.6, 3.2.7, 5.2 документа «Аккорд‑X K. Руководство администратора»;

3. п.п. 7.11 документа «Аккорд-Win64 K. Установка правил разграничения доступа. Программа ACED32».

 

 

Ограничение программной среды (ОПС)

 

 

 

 

4              

ОПС.4

Управление временными файлами, в том числе запрет, разрешение, перенаправление записи, удаление временных файлов

 

 

Обеспечивается при условии совместного применения комплекса с СПО разграничения доступа (СПО «Аккорд‑Win64 K»).

Функция «Очищать файл подкачки».

1. п.п. Приложение 1 документа «Аккорд-Win64 K. Установка правил разграничения доступа. Программа ACED32».

 

 

Защита машинных носителей персональных данных (ЗНИ)

 

 

 

 

5              

ЗНИ.4

Исключение возможности несанкционированного ознакомления с содержанием персональных данных, хранящихся на машинных носителях, и (или) использования носителей персональных данных в иных информационных системах

 

 

Доступ к машинным носителям СВТ осуществляется, только после прохождения всех этапов доверенной загрузки, реализуемой СЗИ от НСД «Аккорд-АМДЗ».

 

6              

ЗНИ.6

Контроль ввода (вывода) информации на машинные носители персональных данных

 

 

Обеспечивается при условии совместного применения комплекса с СПО разграничения доступа (СПО «Аккорд‑Win64 K», СПО «Аккорд‑X K») либо при применении ПАК «Аккорд‑X», в состав которого сходит «Аккорд‑АМДЗ».

1. п.п. 3.4.13 документа «Аккорд-Х. Руководство администратора»;

2. п.п 3.2.12 документа «Аккорд-Х K. Руководство администратора»;

3. п.п. 7.16 документа «Аккорд-Win64 K. Установка правил разграничения доступа. Программа ACED32».

7              

ЗНИ.7

Контроль подключения машинных носителей персональных данных

 

 

 

 

Регистрация событий безопасности (РСБ)

 

 

 

 

8              

РСБ.8

Обеспечение возможности просмотра и анализа информации о действиях отдельных пользователей в информационной системе

нет

 

СЗИ от НСД «Аккорд» протоколирует действия пользователей.

С помощью раздела (вкладки) «Журнал» можно проанализировать работу каждого пользователя.

1. п.п. 3.11 документа «Аккорд‑АМДЗ. Руководство администратора».

 

 

Защита среды виртуализации (ЗСВ)

 

 

 

 

9              

ЗСВ.5

Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера), серверов управления виртуализацией

 

 

Обеспечивается при условии совместного применения комплекса с СПО «Аккорд‑В.».

1. п.п. 3.7 документа «Аккорд‑В. Руководство по установке».

 

 

Обеспечение целостности информационной системы и персональных данных (ОЦЛ)

 

 

 

 

10            

ОЦЛ.2

Контроль целостности персональных данных, содержащихся в базах данных информационной системы

 

 

Комплекс обеспечивает контроль целостности структуры базы данных по контрольным суммам программных компонентов базы данных в процессе загрузки информационной системы.

1. п.п. 3.10.2 документа «Аккорд‑АМДЗ. Руководство администратора».

11            

ОЦЛ.5

Контроль содержания информации, передаваемой из информационной системы (контейнерный, основанный на свойствах объекта доступа, и (или) контентный, основанный на поиске запрещенной к передаче информации с использованием сигнатур, масок и иных методов), и исключение неправомерной передачи информации из информационной системы

 

 

Обеспечивается при условии совместного применения комплекса с СПО разграничения доступа (СПО «Аккорд‑Win64 K», СПО «Аккорд‑X K») либо при применении ПАК «Аккорд‑X», в состав которого сходит «Аккорд‑АМДЗ».

С помощью «Аккорд-Х» возможно выявление фактов неправомерной записи защищаемой информации на неучтенные съемные машинные носители информации.

С помощью СПО «Аккорд‑Win64 K» возможно:

‒     выявление фактов неправомерной записи защищаемой информации на неучтенные съемные машинные носители информации и реагирование на них;

‒     выявление фактов неправомерного вывода на печать документов, содержащих защищаемую информацию, и реагирование на них.

1. п.п. 3.4.13 документа «Аккорд-Х. Руководство администратора»;

2. п.п. 3.2.12 документа «Аккорд-Х K. Руководство администратора;

3. п.п. 5.2, 7.13 документа «Аккорд-Win64 K. Установка правил разграничения доступа. Программа ACED32».

12            

ОЦЛ.8

Контроль ошибочных действий пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действиях

 

 

При превышении установленного количества попыток аутентификации пользователь блокируется.

Фиксируется корректность алфавита ввода пароля (при использовании некорректных символов на экране появляется сообщение).

При превышении установленного количества попыток смены пароля пользователя выполняется перезагрузка компьютера.

1. п.п. 3.2.2, 3.12.1 документа «Аккорд‑АМДЗ. Руководство администратора».

 

 

Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС)

 

 

 

 

13

ЗИС.6

Передача и контроль целостности атрибутов безопасности (меток безопасности), связанных с информацией, при обмене информацией с иными информационными системами

 

 

Обеспечивается при условии совместного применения комплекса с СПО разграничения доступа (СПО «Аккорд‑Win64 K»).

При установке меток доступа информация об этом записывается в файл. Данные файл возможно установить этот файл на КЦ.

1. п.п. 7.15.2 документа «Аккорд-Win64 K. Установка правил разграничения доступа. Программа ACED32»;

2. документ «Инструкция по созданию изолированной программной среды с использованием утилиты AcTskMng».

14

ЗИС.19

Изоляция процессов (выполнение программ) в выделенной области памяти

 

 

Обеспечивается при условии совместного применения комплекса с СПО разграничения доступа (СПО «Аккорд‑Win64 K»).

1. п.п. 7.12 документа «Аккорд-Win64 K. Установка правил разграничения доступа. Программа ACED32».

15

ЗИС.29

Перевод информационной системы или ее устройств (компонентов) в заранее определенную конфигурацию, обеспечивающую защиту информации, в случае возникновении отказов (сбоев) в системе защиты информации информационной системы

нет

 

Посредством комплекса возможно:

‒     резервное копирование информации в соответствии с мерой ОДТ.4;

‒     контроль безотказного функционирования технических средств ИС в соответствии с мерой ОДТ.3;

‒     обеспечение возможности восстановления информации с резервных машинных носителей информации (резервных копий) в соответствии с мерой ОДТ.5.

1. п.п. 3.14, 3.16 документа «Аккорд‑АМДЗ. Руководство администратора».

 

Итак, путем применения комплекса «Аккорд-АМДЗ» в информационной системе выполняются следующие меры, включенные в базовый набор мер защиты информации для соответствующего класса защищенности информационной системы:

ИАФ: 1, 2, 3, 4, 5, 6;

УПД: 1, 2, 4, 5, 6, 9, 10, 11, 15, 17;

ОПС: 1;

ЗНИ: 2, 5, 8;

РСБ: 1, 2, 3, 4, 5, 7;

АНЗ: 1, 2, 3, 4, 5;

ОЦЛ: 1, 3, 6;

ОДТ: 3, 4, 5;

ЗСВ: 1, 2, 3, 6, 7, 8;

ЗИС: 1, 5, 15, 21, 30;

ИНЦ: 2;

а также дополнительные (не включенные в базовый набор) меры:

ИАФ: 7;

УПД: 7, 12;

ОПС: 4;

ЗНИ: 4, 6, 7;

РСБ: 8;

ОЦЛ: 2, 5, 8;

ЗСВ: 5;

ЗИС: 6, 19, 29.

 

Выполнение базового набора мер, определенных 31-ым приказом ФСТЭК России по защите информации в автоматизированной системе управления, путем применения ПАК СЗИ от НСД «Аккорд‑АМДЗ»

В таблице № 3 представлено описание выполнения базового набора мер 31-го приказа ФСТЭК России по защите информации в автоматизированной системе управления путем применения комплекса «Аккорд-АМДЗ» (ТУ 26.20.40.140-079-37222406-2019, ТУ 4012-054-11443195-2013, ТУ 4012-038-11443195-2011).

Выражение «все» в ячейках столбца «Классы защищенности автоматизированной системы управления» означает, что рассматриваемая мера должна быть реализована в автоматизированной системе управления с любым классом защищенности.

Таблица 3 – Выполнение базового набора мер по защите информации 31-го приказа ФСТЭК России по защите информации в автоматизированной системе управления путем применения ПАК СЗИ от НСД «Аккорд‑АМДЗ»

Усл. обозн. и номер меры

Меры защиты информации в автоматизированных системах безопасности

Классы защищенности автоматизированной системы управления

«Аккорд-АМДЗ»

Ссылки на документацию

 

 

Идентификация и аутентификация (ИАФ)

 

 

 

1              

ИАФ.0

Разработка политики идентификации и аутентификации

+

все

В комплексе разработана политика идентификации и аутентификации.

 

2              

ИАФ.1

Идентификация и аутентификация пользователей и инициируемых ими процессов

+

все

В ПАК СЗИ от НСД «Аккорд-АМДЗ» идентификация осуществляется по аппаратному идентификатору, аутентификация осуществляется паролю.

1. п.п. 3.2 документа «Аккорд‑АМДЗ. Руководство администратора»;

2. п.п. 3.1.1, 3.1.2 документа «Аккорд‑АМДЗ. Руководство пользователя».

3              

ИАФ.2

Идентификация и аутентификация устройств

+

все

В ПАК СЗИ от НСД «Аккорд-АМДЗ» осуществляется идентификация стационарных устройств СВТ, при процедуре контроля целостности конфигурации технических средств СВТ.

1. п.п. 3.10, 3.12 документа «Аккорд‑АМДЗ. Руководство администратора».

4              

ИАФ.3

Управление идентификаторами

+

все

Управление идентификаторами учетных записей производится в административном режиме АМДЗ в разделе «Пользователи».

Возможные операции: создание, удаление, блокировка, редактирование свойств учетной записи; создание, присвоение, удаление аппаратных идентификаторов.

1. п.п. 3.2 документа «Аккорд‑АМДЗ. Руководство администратора».

5              

ИАФ.4

Управление средствами аутентификации

+

все

Управление паролями и аппаратными идентификаторами учетных записей пользователей производится в административном режиме АМДЗ в разделе «Пользователи».

1. п.п. 3.2 документа «Аккорд‑АМДЗ. Руководство администратора».

6              

ИАФ.5

Идентификация и аутентификация внешних пользователей

+

все

Обеспечивается при условии совместного применения комплекса с СПО разграничения доступа (СПО «Аккорд‑Win64 K», СПО «Аккорд‑X K») либо при применении ПАК «Аккорд‑X», в состав которого сходит «Аккорд‑АМДЗ».

 

7              

ИАФ.7

Защита аутентификационной информации при передаче

+

все

При вводе пароля (при авторизации в АМДЗ), пароль отображается звездочками.

1. п.п. 3.1.2 документа «Аккорд‑АМДЗ. Руководство пользователя».

 

 

Управление доступом (УПД)

 

 

 

8              

УПД.0

Разработка политики управления доступом

+

все

В комплексе разработана политика управления доступом.

 

9              

УПД.1

Управление учетными записями пользователей

+

все

Управление учетными записями производится в административном режиме АМДЗ в разделе «Пользователи».

Возможные операции: создание, удаление, блокировка, редактирование свойств учетной записи; создание, присвоение, удаление аппаратных идентификаторов.

Возможно задание временных ограничений на доступ пользователей к АМДЗ в соответствии с установленным для них режимом работы.

1. п.п. 3.3 документа «Аккорд‑АМДЗ. Руководство администратора».

10            

УПД.2

Реализация политик управления доступом

+

все

Ролевой метод реализован в виде групп пользователей АМДЗ.

1. п.п. 3.3.1 документа «Аккорд‑АМДЗ. Руководство администратора».

11            

УПД.3

Доверенная загрузка

+

начиная со 2 класса защищенности автоматизированной системы

Комплекс обеспечивает исключение несанкционированного доступа к программным и техническим ресурсам средства вычислительной техники информационной системы на этапе его загрузки.

Функционирование подсистемы безопасности доверенной загрузки тесно связано с результатами выполнения процедур в других подсистемах СДЗ, например:

–     в случае заполнения журнала регистрации событий на 95% в подсистеме аудита, осуществляется блокировка загрузки ОС;

–     при превышении числа попыток идентификации/аутентификации в подсистеме идентификации и аутентификации осуществляется блокировка загрузки ОС;

–     при нарушении целостности СДЗ при выполнении процедур подсистемы самотестирования осуществляется блокировка загрузки ОС;

–     при нарушении целостности загружаемой программной среды и состава аппаратных компонентов в подсистеме контроля целостности осуществляется блокировка загрузки ОС.

1. п.п. 1.1, 3.10 документа «Аккорд‑АМДЗ. Руководство администратора».

12            

УПД.4

Разделение полномочий (ролей) пользователей

+

все

В памяти контроллера АМДЗ хранятся имена пользователей и их полномочия. После прохождения процедуры ИА пользователей, встроенное ПО контроллера определяет дальнейший режим загрузки по результатам данной процедуры. Администрирование АМДЗ может проводить только пользователь, зарегистрированный группе «Администраторы» и имеющий абсолютные полномочия (супервизора). Если пользователь принадлежит к группе «Администраторы», то следующим шагом при загрузке будет отображено меню, которое определяет возможность администрирования АМДЗ (регистрацию пользователей и персональных идентификаторов, назначение файлов для контроля целостности, контроль аппаратной части ПЭВМ, просмотр системного журнала). Администратор безопасности информации вручную выставляет параметры безопасности, руководствуясь необходимыми нормативными и служебными документами. Если пользователь принадлежит к группе «Пользователи», то меню администрирования не отображается и происходит загрузка ОС в соответствии с полномочиями данного пользователя.

1. п.п. 3.3.2, 3.3.3 документа «Аккорд‑АМДЗ. Руководство администратора».

13            

УПД.5

Назначение минимально необходимых прав и привилегий

+

все

14            

УПД.6

Ограничение неуспешных попыток доступа в информационную (автоматизированную) систему

+

все

Комплекс обеспечивает блокирование персонального идентификатора, с которого предпринимаются попытки доступа, при превышении пользователем ограничения количества неуспешных попыток входа в информационную систему.

Настраивается в разделе «Настройки».

Возможно установить от 1 до 8 попыток.

1. п.п. 3.12.1 документа «Аккорд‑АМДЗ. Руководство администратора».

15            

УПД.9

Ограничение числа параллельных сеансов доступа

+

В 1 классе защищенности автоматизированной системы управления

Для каждой учетной записи возможно инициировать только один сеанс работы.

 

16            

УПД.10

Блокирование сеанса доступа пользователя при неактивности

+

все

В комплексе имеется возможность установки сторожевого таймера – времени, которое предоставляется пользователю для предъявления идентификатора и пароля.

Также в комплексе имеется возможность установки параметра «Автоматическое выключение ЭВМ», то если по истечении заданного интервала времени (за данный интервал времени отвечает параметр «Таймаут для идентификатора») идентификатор пользователя не был предъявлен, ЭВМ автоматически выключается.

1. п.п. 3.12.4, 3.12.1 документа «Аккорд‑АМДЗ. Руководство администратора».

17            

УПД.11

Управление действиями пользователей до идентификации и аутентификации

+

все

До проведения идентификации и аутентификации пользователю запрещены любые действия кроме ввода идентификационной и аутентификационной информации, предъявления аппаратного идентификатора, смены пользователя.

1. п.п. 3.2 документа «Аккорд‑АМДЗ. Руководство пользователя».

 

 

Ограничение программной среды (ОПС)

 

 

 

18            

ОПС.0

Разработка политики ограничения программной среды

+

во 2 классе защищенности автоматизированной системы управления

Обеспечивается при условии совместного применения комплекса с СПО разграничения доступа (СПО «Аккорд‑Win64 K», СПО «Аккорд‑X K») либо при применении ПАК «Аккорд‑X», в состав которого сходит «Аккорд‑АМДЗ».

 

19            

ОПС.1

Управление запуском (обращениями) компонентов программного обеспечения

+

в 1 классе защищенности автоматизированной системы управления

1. п.п. 3.4.7, 3.4.8, 5.2 документа «Аккорд-Х. Руководство администратора»;

2. п.п 3.2.7, 3.2.8, 5.2 документа «Аккорд-Х K. Руководство пользователя»;

3. п.п. 7.12 документа «Аккорд-Win64 K. Установка правил разграничения доступа. Программа ACED32».

 

 

Защита машинных носителей информации (ЗНИ)

 

 

 

20            

ЗНИ.0

Разработка политики защиты машинных носителей информации

+

все

ПАК СЗИ от НСД «Аккорд-АМДЗ» поддерживает политику защиты машинных носителей информации.

 

21            

ЗНИ.2

Управление физическим доступом к машинным носителям информации

+

все

Доступ к машинным носителям СВТ осуществляется только после прохождения всех этапов доверенной загрузки, реализуемой СЗИ от НСД «Аккорд-АМДЗ».

 

22            

ЗНИ.5

Контроль использования интерфейсов ввода (вывода) информации на машинные носители информации

+

все

Обеспечивается при условии совместного применения комплекса с СПО разграничения доступа (СПО «Аккорд‑Win64 K», СПО «Аккорд‑X K») либо при применении ПАК «Аккорд‑X», в состав которого сходит «Аккорд‑АМДЗ».

1. п.п. 3.4.13 документа «Аккорд-Х. Руководство администратора»;

2. п.п 3.2.12 документа «Аккорд-Х K. Руководство администратора»;

3. п.п. 7.16 документа «Аккорд-Win64 K. Установка правил разграничения доступа. Программа ACED32».

23            

ЗНИ.6

Контроль ввода (вывода) информации на машинные носители информации

+

начиная с 1 класса защищенности автоматизированной системы управления

24            

ЗНИ.7

Контроль подключения машинных носителей информации

+

все

25            

ЗНИ.8

Уничтожение (стирание) информации на машинных носителях информации

+

все

1. п.п. 3.4.2, 5.2 документа «Аккорд-Х. Руководство администратора»;

2. п.п 3.2.2, 5.2 документа «Аккорд-Х K. Руководство администратора».

 

 

Аудит безопасности (АУД)

 

 

 

26            

АУД.0

Разработка политики аудита безопасности

+

все

СЗИ от НСД «Аккорд-АМДЗ» поддерживает политику аудита безопасности в части обеспечения регистрации событий безопасности, защиты информации о событиях безопасности и анализа действий пользователей.

 

27            

АУД.2

Анализ уязвимостей и их устранение

+

все

Устранение уязвимостей комплекса выполняется путем установки обновлений программного обеспечения средств защиты информации.

Обновление (firmware) модуля доверенной загрузки выполняется в сервисном центре Разработчика ПО.

1. п. 6 документа «Аккорд‑АМДЗ. Формуляр».

28            

АУД.4

Регистрация событий безопасности

+

все

Комплекс обеспечивает сбор, запись и хранение следующих системных событий и действий пользователей:

–    начало сеанса пользователя;

–    прохождение процедуры аутентификации пользователя;

–    осуществление контроля целостности аппаратуры ПЭВМ;

–    осуществление контроля целостности отдельных файлов и программных средств ПЭВМ;

–    осуществление контроля целостности системных областей жестких дисков (секторов);

–    осуществление контроля целостности системного реестра (для ОС семейства Microsoft Windows);

–    создание журнала системных событий и действий пользователей;

–    изменение полномочий пользователей.

1. п.п. 3.11 документа «Аккорд‑АМДЗ. Руководство администратора».

29            

АУД.6

Защита информации о событиях безопасности

+

все

Доступ к записям аудита и функциям управления механизмами регистрации (аудита) предоставляется только уполномоченным должностным лицам (администраторам АМДЗ).

 

30            

АУД.7

Мониторинг безопасности

+

все

Комплекс обеспечивает просмотр администратору зарегистрированных в журнале событий безопасности, экспорт журнала в текстовый файл и очистку журнала.

1. п.п. 3.11, 3.14.3 документа «Аккорд‑АМДЗ. Руководство администратора».

31            

АУД.8

Реагирование на сбои при регистрации событий безопасности

+

все

Если заполнение журнала превышает 85%, при загрузке компьютера выдается предупреждение, но загрузка продолжается. Если заполнение журнала превышает 95%, то загрузка для пользователя блокируется, и требуется вмешательство администратора.

1. п.п. 3.11 документа «Аккорд‑АМДЗ. Руководство администратора».

32            

АУД.9

Анализ действий пользователей

+

начиная с 1 класса защищенности автоматизированной системы

СЗИ от НСД «Аккорд» протоколирует действия пользователей.

С помощью раздела (вкладки) «Журнал» можно проанализировать работу каждого пользователя.

1. п.п. 3.11 документа «Аккорд‑АМДЗ. Руководство администратора».

 

 

Обеспечение целостности (ОЦЛ)

 

 

 

33            

ОЦЛ.0

Разработка политики обеспечения целостности

+

все

В комплексе реализована политика обеспечения целостности.

 

34            

ОЦЛ.1

Контроль целостности программного обеспечения

+

все

С помощью «Аккорд-АМДЗ» производится контроль целостности системных областей жестких дисков, программ и данных, конфигурации технических средств ПЭВМ, а также программных средств СЗИ НСД.

1. п.п. 3.10 документа «Аккорд‑АМДЗ. Руководство администратора»;

2. п.п. 3.1 документа «Аккорд‑АМДЗ. Руководство пользователя».

35            

ОЦЛ.3

Ограничение по вводу информации в информационную (автоматизированную) систему

+

начиная с 1 класса защищенности автоматизированной системы управления

Обеспечивается при условии совместного применения комплекса с СПО разграничения доступа (СПО «Аккорд‑Win64 K», СПО «Аккорд‑X K») либо при применении ПАК «Аккорд‑X», в состав которого сходит «Аккорд‑АМДЗ».

1. п.п. 3.4.6, 3.4.7 документа «Аккорд‑X. Руководство администратора»;

2. п.п. 3.2.6, 3.2.7 документа «Аккорд‑X K. Руководство администратора»;

3. п.п. 7.11 документа «Аккорд-Win64 K. Установка правил разграничения доступа. Программа ACED32».

36            

ОЦЛ.4

Контроль данных, вводимых в информационную (автоматизированную) систему

+

начиная со 2 класса защищенности автоматизированной системы управления

Обеспечивается при условии совместного применения комплекса с СПО разграничения доступа (СПО «Аккорд‑Win64 K», СПО «Аккорд‑X K») либо при применении ПАК «Аккорд‑X», в состав которого сходит «Аккорд‑АМДЗ».

С помощью «Аккорд-Х» возможно выявление фактов неправомерной записи защищаемой информации на неучтенные съемные машинные носители информации.

С помощью СПО «Аккорд‑Win64 K» возможно:

‒     выявление фактов неправомерной записи защищаемой информации на неучтенные съемные машинные носители информации и реагирование на них;

‒     выявление фактов неправомерного вывода на печать документов, содержащих защищаемую информацию, и реагирование на них.

1. п.п. 3.4.13 документа «Аккорд-Х. Руководство администратора»;

2. п.п. 3.2.12 документа «Аккорд-Х K. Руководство администратора;

3. п.п. 5.2, 7.13 документа «Аккорд-Win64 K. Установка правил разграничения доступа. Программа ACED32».

37            

ОЦЛ.5

Контроль ошибочных действий пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действиях

+

начиная со 2 класса защищенности автоматизированной системы управления

При превышении установленного количества попыток аутентификации пользователь блокируется.

Фиксируется корректность алфавита ввода пароля (при использовании некорректных символов на экране появляется сообщение).

При превышении установленного количества попыток смены пароля пользователя выполняется перезагрузка компьютера.

1. п.п. 3.2.2, 3.12.1 документа «Аккорд‑АМДЗ. Руководство администратора».

 

 

Обеспечение доступности (ОДТ)

 

 

 

38            

ОДТ.0

Разработка политики обеспечения доступности

+

все

Комплекс поддерживает политику обеспечения доступности в части обеспечения резервного копирования конфигурации СЗИ от НСД и восстановления СЗИ от НСД из резервной копии.

 

39            

ОДТ.3

Контроль безотказного функционирования средств и систем

+

во 2 классе защищенности автоматизированной системы управления

Обеспечивается контроль работоспособности, правильности функционирования программного обеспечения средств защиты информации посредством функции самотестирования функционала СЗИ НСД перед стартом.

1. п.п. 3.16 документа «Аккорд‑АМДЗ. Руководство администратора».

40            

ОДТ.4

Резервное копирование информации

+

все

Комплексом обеспечиваться периодическое резервное копирование информации (базы данных пользователей и списка контролируемых объектов) на резервные машинные носители информации.

1. п.п. 3.14 документа «Аккорд‑АМДЗ. Руководство администратора».

41            

ОДТ.5

Обеспечение возможности восстановления информации

+

все

По команде администратора комплексом обеспечивается возможность восстановления информации (базы данных пользователей и списка контролируемых объектов) с резервных машинных носителей информации (резервных копий).

 

 

Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

 

 

 

42            

ЗИС.0

Разработка политики защиты информационной (автоматизированной) системы и ее компонентов

+

все

Комплекс обеспечивает защиту информационной (автоматизированной) системы и ее компонентов в части реализации разделения функций по управлению системой и защиты неизменяемых данных.

 

43            

ЗИС.1

Разделение функций по управлению (администрированию) информационной (автоматизированной) системой с иными функциями

+

все

В «Аккорд-АМДЗ» реализован ролевой метод разграничения доступа. Пользователи делятся на «Администраторов» комплекса и «Пользователей».

1. п.п. 3.3.1 документа «Аккорд‑АМДЗ. Руководство администратора».

44            

ЗИС.13

Защита неизменяемых данных

+

начиная со 2 класса защищенности автоматизированной системы

Производится контроль целостности программных средств СЗИ НСД (по умолчанию) и всех компонентов. Возможен контроль целостности файлов других приложений, файлов с данными и пр.

1. п.п. 3.10 документа «Аккорд‑АМДЗ. Руководство администратора».

45            

ЗИС.21

Запрет несанкционированной удаленной активации периферийных устройств

+

все

Обеспечивается при условии совместного применения комплекса с СПО разграничения доступа (СПО «Аккорд‑Win64 K», СПО «Аккорд‑X K») либо при применении ПАК «Аккорд‑X», в состав которого сходит «Аккорд‑АМДЗ».

Возможно исключение несанкционированного использования USB-принтеров – регулируется посредством назначения пользователю (или группе пользователей) соответствующих правил разграничения доступа.

1. п.п. 3.4.13 документа «Аккорд-Х. Руководство администратора»;

2. п.п 3.2.12 документа «Аккорд-Х K. Руководство администратора»;

3. п.п. 7.11.1 документа «Аккорд-Win64 K. Установка правил разграничения доступа. Программа ACED32».

46            

ЗИС.33

Исключение доступа через общие ресурсы

+

начиная с 1 класса защищенности автоматизированной системы управления

Комплекс обеспечивает очистку баз данных при необходимости передаче компьютера в другое подразделение, где есть собственный администратор БИ и иной состав пользователей либо при утере идентификатора администратора. Для этого в комплексе реализована функция аппаратной очистки баз данных.

1. п. 4 документа «Аккорд‑АМДЗ. Руководство администратора».

47            

ЗИС.38

Защита информации при использовании мобильных устройств

+

все

Обеспечивается при условии совместного применения комплекса с СПО разграничения доступа (СПО «Аккорд‑Win64 K», СПО «Аккорд‑X K») либо при применении ПАК «Аккорд‑X», в состав которого сходит «Аккорд‑АМДЗ».

1. п.п. 3.4.13 документа «Аккорд-Х. Руководство администратора»;

2. п.п 3.2.12 документа «Аккорд-Х K. Руководство администратора»;

3. п.п. 7.16 документа «Аккорд-Win64 K. Установка правил разграничения доступа. Программа ACED32».

48            

ЗИС.39

Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных

+

все

Обеспечивается при условии совместного применения комплекса с СПО «Аккорд‑В.».

1. п.п. 3.7 документа «Аккорд‑В. Руководство по установке».

 

 

Реагирование на компьютерные инциденты (ИНЦ)

 

 

 

49            

ИНЦ.0

Разработка политики реагирования на компьютерные инциденты

+

все

Комплекс обеспечивает фиксацию операций с доступом к объектам, операции смены субъекта доступа, операции И/А.

 

50            

ИНЦ.1

Выявление компьютерных инцидентов

+

все

1. п.п. 3.11 документа «Аккорд‑АМДЗ. Руководство администратора»;

2. Приложение 1 документа «Аккорд‑АМДЗ. Руководство пользователя».

51            

ИНЦ.2

Информирование о компьютерных инцидентах

+

все

 

 

Управление обновлениями программного обеспечения (ОПО)

 

 

 

52            

ОПО.0

Разработка политики управления обновлениями программного обеспечения

+

все

Обновление ПО (firmware) модуля доверенной загрузки выполняется в сервисном центре Разработчика ПО.

 

53            

ОПО.4

Установка обновлений программного обеспечения

+

все

1. п. 3 документа «Аккорд‑Х. Руководство администратора»;

2. п. 3 документа «Аккорд‑Х K. Руководство администратора»;

3. п. 6 документа «Аккорд‑АМДЗ. Формуляр».

 

 

Обеспечение действий в нештатных ситуациях (ДНС)

 

 

 

54            

ДНС.0

Разработка политики обеспечения действий в нештатных ситуациях

+

все

Комплексом «Аккорд-АМДЗ» (по команде администратора) обеспечиваться периодическое резервное копирование информации (базы данных пользователей и списка контролируемых объектов) на резервные машинные носители информации.

 

55            

ДНС.4

Резервирование программного обеспечения, технических средств, каналов связи на случай возникновения нештатных ситуаций

+

начиная со 2 класса защищенности автоматизированной системы управления

1. п.п. 3.14 документа «Аккорд-АМДЗ. Руководство администратора».

56            

ДНС.5

Обеспечение возможности восстановления информационной (автоматизированной) системы в случае возникновения нештатных ситуаций

+

все

Реализована функция сохранения резервной копии конфигурационных файлов СЗИ НСД «Аккорд-АМДЗ».

Аппаратная часть комплекса СЗИ НСД «Аккорд-АМДЗ» имеет в составе внутреннего ПО функции резервного копирования и восстановления базы данных пользователей и списка контролируемых объектов.

1. п.п. 3.14 документа «Аккорд-АМДЗ. Руководство администратора».

 

Выполнение дополнительных (не включенных в базовый набор) мер, определенных 31-ым приказом ФСТЭК России по защите информации в автоматизированной системе управления, путем применения комплекса «Аккорд-АМДЗ»

В таблице № 4 представлено описание выполнения дополнительных (не включенных в базовый набор) мер 31-го приказа ФСТЭК России по защите информации в автоматизированной системе управления путем применения комплекса «Аккорд-АМДЗ» (ТУ 26.20.40.140-079-37222406-2019, ТУ 4012-054-11443195-2013, ТУ 4012-038-11443195-2011).

Таблица 4 - Выполнение дополнительных (не включенных в базовый набор) мер по защите информации 31‑го приказа ФСТЭК России по защите информации в автоматизированной системе управления путем применения комплекса «Аккорд-АМДЗ»

Усл. обозн.

Содержание мер по обеспечению безопасности персональных данных

Классы защищенности автоматизированной системы управления

«Аккорд-АМДЗ»

Ссылки на документацию

 

 

Управление доступом (УПД)

 

 

 

1              

УПД.7

Предупреждение пользователя при его доступе к информационным ресурсам

 

Обеспечивается при условии совместного применения комплекса с СПО разграничения доступа (СПО «Аккорд‑Win64 K»).

1. п.п. 2.1.5 документа «Аккорд‑Win64 K. Руководство по установке».

2              

УПД.12

Управление атрибутами безопасности

 

Обеспечивается при условии совместного применения комплекса с СПО разграничения доступа (СПО «Аккорд‑Win64 K», СПО «Аккорд‑X K») либо при применении ПАК «Аккорд‑X», в состав которого сходит «Аккорд‑АМДЗ».

1. п.п. 3.4.6, 3.4.7, 5.2 документа «Аккорд‑Х. Руководство администратора»;

2. п.п. 3.2.6, 3.2.7, 5.2 документа «Аккорд‑X K. Руководство администратора»;

3. п.п. 7.11 документа «Аккорд-Win64 K. Установка правил разграничения доступа. Программа ACED32».

 

 

Ограничение программной среды (ОПС)

 

 

 

3              

ОПС.3

Управление временными файлами

 

Обеспечивается при условии совместного применения комплекса с СПО разграничения доступа (СПО «Аккорд‑Win64 K»).

Функция «Очищать файл подкачки».

1. п.п. Приложение 1 документа «Аккорд-Win64 K. Установка правил разграничения доступа. Программа ACED32».

 

 

Защита машинных носителей информации (ЗНИ)

 

 

 

4              

ЗНИ.4

Исключение возможности несанкционированного чтения информации на машинных носителях информации

 

Доступ к машинным носителям СВТ осуществляется, только после прохождения всех этапов доверенной загрузки, реализуемой СЗИ от НСД «Аккорд-АМДЗ».

 

 

 

Обеспечение целостности (ОЦЛ)

 

 

 

5              

ОЦЛ.2

Контроль целостности информации

 

Комплекс обеспечивает контроль целостности структуры базы данных по контрольным суммам программных компонентов базы данных в процессе загрузки информационной системы.

1. п.п. 3.10.2 документа «Аккорд‑АМДЗ. Руководство администратора».

 

 

Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

 

 

 

6              

ЗИС.12

Изоляция процессов (выполнение программ) в выделенной области памяти

 

Обеспечивается при условии совместного применения комплекса с СПО разграничения доступа (СПО «Аккорд‑Win64 K»).

1. п.п. 7.12 документа «Аккорд-Win64 K. Установка правил разграничения доступа. Программа ACED32».

7              

ЗИС.22

Управление атрибутами безопасности при взаимодействии с иными информационными (автоматизированными) системами

 

Обеспечивается при условии совместного применения комплекса с СПО разграничения доступа (СПО «Аккорд‑Win64 K»).

При установке меток доступа информация об этом записывается в файл. Данные файл возможно установить этот файл на КЦ.

1. п.п. 7.15.2 документа «Аккорд-Win64 K. Установка правил разграничения доступа. Программа ACED32»;

2. документ «Инструкция по созданию изолированной программной среды с использованием утилиты AcTskMng».

8              

ЗИС.37

Перевод информационной (автоматизированной) системы в безопасное состояние при возникновении отказов (сбоев)

 

Посредством комплекса возможно:

‒     резервное копирование информации в соответствии с мерой ОДТ.4;

‒     контроль безотказного функционирования технических средств ИС в соответствии с мерой ОДТ.3;

‒     обеспечение возможности восстановления информации с резервных машинных носителей информации (резервных копий) в соответствии с мерой ОДТ.5.

1. п.п. 3.14, 3.16 документа «Аккорд‑АМДЗ. Руководство администратора».

 

Итак, путем применения комплекса «Аккорд-АМДЗ» в автоматизированной системе управления выполняются следующие меры, включенные в базовый набор мер защиты информации для соответствующего класса защищенности информационной системы:

ИАФ: 1, 2, 3, 4, 5, 7;

УПД: 1, 2, 3, 4, 5, 6, 9, 10, 11;

ОПС: 1;

ЗНИ: 2, 5, 6, 7, 8;

АУД: 2, 4, 6, 7, 8, 9;

ОЦЛ: 1, 3, 4, 5;

ОДТ: 3, 4, 5;

ЗИС: 1, 13, 21, 33, 38, 39;

ИНЦ: 1, 2;

ОПО: 4;

ДНС: 4, 5;

а также дополнительные (не включенные в базовый набор) меры:

УПД: 7, 12;

ОПС: 3;

ЗНИ: 4;

ОЦЛ: 2;

ЗИС: 12, 22, 37.

[1] Угроза доверенной загрузки может быть признана неактуальной в случае блокирования внешних интерфейсов системного блока компьютера, извлечения CD/DVD-приводов и пр. для исключения возможности произвести загрузку недоверенной ОС со сторонних носителей информации.

Дубликатом бесценного груза
Кнопка связи