Меры приказов ФСТЭК России. «Аккорд-В.»

Таблица 1 – Выполнение базового набора мер по защите информации 17-го и 21-го приказов ФСТЭК по защите информации в информационной системе путем применения СПО «Аккорд-В.»

Таблица 2 – Выполнение дополнительных (не включенных в базовый набор) мер по защите информации 17‑го и 21-го приказов ФСТЭК по защите информации в информационной системе путем применения СПО «Аккорд‑В.»

Таблица 3 – Выполнение базового набора мер по защите информации 31-го приказа ФСТЭК по защите информации в автоматизированной системе управления путем применения СПО «Аккорд-В.»

Таблица 4 – Выполнение дополнительных (не включенных в базовый набор) мер по защите информации 31‑го приказа ФСТЭК по защите информации в автоматизированной системе управления путем применения СПО «Аккорд-В.»

 

Выполнение базового набора мер, определенных 17-ым и 21-ым приказами ФСТЭК России по защите информации в информационной системе, путем применения СПО «Аккорд-В.»

В таблице № 1 представлено описание выполнения базового набора мер 17-го и 21-го приказов ФСТЭК по защите информации в информационной системе путем применения СПО «Аккорд‑В.» (ТУ 26.20.40.140-086-37222406-2020).

Выражение «все» в ячейках столбца «Уровни защищенности ПДн» означает, что рассматриваемая мера должна быть реализована в информационной системе с любым уровнем защищенности персональных данных.

Выражение «все» в ячейках столбца «Классы защищенности ИС» означает, что рассматриваемая мера должна быть реализована в информационной системе с любым классом защищенности.

Таблица 1 – Выполнение базового набора мер по защите информации 17-го и 21-го приказов ФСТЭК по защите информации в информационной системе путем применения СПО «Аккорд-В.»

Усл. обозн.

Содержание мер по обеспечению безопасности персональных данных

Уровни защищенности ПДн

Классы защищенности ИС

«Аккорд-В.»

 

 

Идентификация и аутентификация субъектов и объектов доступа (ИАФ)

 

 

 

1

ИАФ.1

Идентификация и аутентификация пользователей, являющихся работниками оператора

+

все

+

все

В СПО «Аккорд-В.» реализован механизм идентификации и аутентификации администратора безопасности при входе на ESXi сервера. Идентификация и аутентификация осуществляется по имени пользователя, паролю.

2

ИАФ.5

Защита обратной связи при вводе аутентификационной информации

+

все

+

все

При вводе пароль отображается точками.

 

 

Управление доступом субъектов доступа к объектам доступа (УПД)

 

 

 

3

УПД.1

Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей

+

все

+

все

В СПО «Аккорд-В.» регистрируются администратор безопасности информации, а также системные учетные записи для подсистемы регистрации событий.

4

УПД.4

Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы

+

все

+

все

СПО «Аккорд-В» обеспечивает разделение на администратора безопасности информации и системных пользователей.

5

УПД.5

Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы

+

все

+

все

6

УПД.13

Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные связи

+

все

+

все

Доступ администратора безопасности к ESXi-серверам обеспечивается по защищённому протоколу SSH.

7

УПД.17

Обеспечение доверенной загрузки средств вычислительной техники[1]

+

начиная со 2 уровня защищенности ПДн

+

начиная со 2 класса защищенности ИС

СПО «Аккорд-В.» осуществляет доверенную загрузку ВМ инфраструктуры виртуализации VMware vSphere.

 

 

Регистрация событий безопасности (РСБ)

 

 

 

8

РСБ.1

Определение событий безопасности, подлежащих регистрации, и сроков их хранения

+

все

+

все

СПО «Аккорд-В.» в процессе работы производит регистрацию следующих событий безопасности:

  • о запуске и остановке СПО «Аккорд-В.», а также сообщения о получении информации о режиме работы СПО «Аккорд-В.»;
  • о настройке режима работы СПО «Аккорд-В.»;
  • об добавлении/удалении ВМ и её компонентов на контроль;
  • о проведении проверок целостности ВМ или её компонентов, в том числе о нарушениях целостности;
  • о включении и выключении ВМ;
  • о блокировании и разблокировании ВМ;
  • о работе с виртуальными папками Virtual Folders;
  • о работе с сессией;
  • о включении, выключении, перезагрузке, переходе в режим энергосбережения (suspend режим) ВМ;
  • о включении, выключении, перезагрузке, переходе в режим энергосбережения (suspend режим) vApp;
  • о миграции ВМ;
  • о клонировании ВМ;
  • об изменении конфигурации ВМ;
  • о работе со снапшотами;
  • о включении, выключении, переподключении, работе в режиме обслуживания (maintenance mode) хостов ESXi серверов;
  • об изменении конфигурации ESXi серверов (сетевых настроек, работы firewall, запуска, останова или перезапуска сервисов, работы с ролями и разрешениями);
  • об ошибках в СПО «Аккорд-В.».

9

РСБ.2

Определение состава и содержания информации о событиях безопасности, подлежащих регистрации

+

все

+

все

10

РСБ.3

Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения

+

все

+

все

В СПО «Аккорд-В.» обеспечено централизованное автоматизированное управление сбором, записью и хранением информации о событиях безопасности.

Сбор событий выполняется с vCenter и агентов «Аккорд-В.» на ESXi.

11

РСБ.5

Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них

+

начиная со 2 уровня защищенности ПДн

+

все

Для того чтобы начать работу с журналом регистрации событий, необходимо запустить с правами администратора ярлык «LogViewer‑V.» на АРМ с установленным сервисом регистрации событий.

12

РСБ.7

Защита информации о событиях безопасности

+

все

+

все

Доступ к записям аудита и функциям управления механизмами аудита предоставляется только уполномоченным должностным лицам.

 

 

Контроль (анализ) защищенности персональных данных (АНЗ)

 

 

 

13

АНЗ.2

Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации

+

все

+

все

Комплекс обеспечивает возможность установки обновлений программного обеспечения.

14

АНЗ.4

Контроль состава технических средств, программного обеспечения и средств защиты информации

+

начиная с 3 уровня защищенности ПДн

+

все

В СПО реализован механизм контроля целостности оборудования ВМ, а также BIOS и MBR ВМ, выполняемого до их запуска.

 

 

Обеспечение целостности информационной системы и персональных данных (ОЦЛ)

 

 

 

15

ОЦЛ.1

Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации

+

начиная со 2 уровня защищенности ПДн

+

начиная со 2 класса защищенности ИС

СПО «Аккорд-В.» обеспечивает контроль целостности BIOS и MBR включаемых ВМ, файлов, содержащих параметры настройки виртуальных машин, а также системных и пользовательских файлов внутри ВМ.

16

ОЦЛ.3

Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций

не входит в базовый набор мер

+

все

СПО «Аккорд-В.» обеспечивает создание резервных копий баз данных агентов СПО «Аккорд‑В.» на ESXi серверах.

 

 

Обеспечение доступности персональных данных (ОДТ)

 

 

 

17

ОДТ.4

Периодическое резервное копирование персональных данных на резервные машинные носители персональных данных

+

начиная со 2 уровня защищенности ПДн

+

начиная со 2 класса защищенности ИС

СПО «Аккорд-В.» обеспечивает создание резервных копий баз данных агентов СПО «Аккорд‑В.» на ESXi серверах.

18

ОДТ.5

Обеспечение возможности восстановления персональных данных с резервных машинных носителей персональных данных (резервных копий) в течение установленного временного интервала

+

начиная со 2 уровня защищенности ПДн

+

начиная со 2 класса защищенности ИС

СПО «Аккорд-В.» обеспечивает восстановление резервных копий баз данных агентов СПО «Аккорд‑В.» на ESXi серверах.

 

 

Защита среды виртуализации (ЗСВ)

 

 

 

19

ЗСВ.1

Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации

+

все

+

все

В СПО «Аккорд-В.» реализован механизм идентификации и аутентификации администратора безопасности при входе на ESXi сервера.

20

ЗСВ.3

Регистрация событий безопасности в виртуальной инфраструктуре

+

начиная с 3 уровня защищенности ПДн

+

все

СПО «Аккорд-В.» в процессе работы производит регистрацию следующих событий безопасности:

  • о запуске и остановке СПО «Аккорд-В.», а также сообщения о получении информации о режиме работы СПО «Аккорд-В.»;
  • о настройке режима работы СПО «Аккорд-В.»;
  • об добавлении/удалении ВМ и её компонентов на контроль;
  • о проведении проверок целостности ВМ или её компонентов, в том числе о нарушениях целостности;
  • о включении и выключении ВМ;
  • о блокировании и разблокировании ВМ;
  • о работе с виртуальными папками Virtual Folders;
  • о работе с сессией;
  • о включении, выключении, перезагрузке, переходе в режим энергосбережения (suspend режим) ВМ;
  • о включении, выключении, перезагрузке, переходе в режим энергосбережения (suspend режим) vApp;
  • о миграции ВМ;
  • о клонировании ВМ;
  • об изменении конфигурации ВМ;
  • о работе со снапшотами;
  • о включении, выключении, переподключении, работе в режиме обслуживания (maintenance mode) хостов ESXi серверов;
  • об изменении конфигурации ESXi серверов (сетевых настроек, работы firewall, запуска, останова или перезапуска сервисов, работы с ролями и разрешениями);
  • об ошибках в СПО «Аккорд-В.».

Сбор событий выполняется с vCenter и агентов «Аккорд-В.» на ESXi.

21

ЗСВ.6

Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных

+

начиная со 2 уровня защищенности ПДн

+

начиная со 2 класса защищенности ИС

СПО обеспечивает управление размещением и перемещением исполняемых виртуальных машин (контейнеров) между серверами виртуализации в части контроля запуска виртуальных машин на ESXi с установленным агентами из состава СПО «Аккорд-В.».

Управление перемещением виртуальных машин (контейнеров) путем контроля запуска виртуальной машины предусматривает ограничение запуска перемещаемых виртуальных машин (контейнеров) в пределах информационной системы (сегмента информационной системы) на СВТ с установленным СПО «Аккорд-В.».

22

ЗСВ.7

Контроль целостности виртуальной инфраструктуры и ее конфигураций

+

начиная со 2 уровня защищенности ПДн

+

начиная со 2 класса защищенности ИС

СПО обеспечивает выполнение контроля целостности оборудования ВМ, а также BIOS и MBR ВМ, выполняемого до их запуска.

23

ЗСВ.8

Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры

+

начиная со 2 уровня защищенности ПДн

+

начиная со 2 класса защищенности ИС

СПО «Аккорд-В.» обеспечивает восстановление резервных копий баз данных агентов СПО «Аккорд‑В.» на ESXi серверах.

 

 

Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС)

 

 

 

24

ЗИС.15

Защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки персональных данных

+

начиная со 2 уровня защищенности ПДн

+

начиная со 2 класса защищенности ИС

Производится контроль целостности контроль целостности BIOS и MBR включаемых ВМ, файлов, содержащих параметры настройки виртуальных машин, а также системных и пользовательских файлов внутри ВМ.

 

Выполнение дополнительных (не включенных в базовый набор) мер, определенных 17-ым и 21-ым приказами ФСТЭК России по защите информации в информационной системе, путем применения СПО «Аккорд-В.»

В таблице № 2 представлено описание выполнения дополнительных (не включенных в базовый набор) мер 17-го и 21-го приказов ФСТЭК по защите информации в информационной системе путем применения СПО «Аккорд‑В.» (ТУ 26.20.40.140-086-37222406-2020).

Выражением «нет» выделены ячейки столбца «Уровни защищенности ПДн», которые относятся к требованиям, содержащимся только в 17-ом приказе ФСТЭК, и, следовательно, не относящимся к уровням защищенности ПДн.

Выражением «нет» выделены ячейки столбца «Классы защищенности ИС», которые относятся к требованиям, содержащимся только в 21-ом приказе ФСТЭК, и, следовательно, не относящимся к классам защищенности ИС.

Таблица 2 - Выполнение дополнительных (не включенных в базовый набор) мер по защите информации 17‑го и 21-го приказов ФСТЭК по защите информации в информационной системе путем применения СПО «Аккорд‑В.»

Усл. обозн.

Содержание мер по обеспечению безопасности персональных данных

Уровни защищенности ПДн

Классы защищенности ИС

«Аккорд‑В.»

 

 

Идентификация и аутентификация субъектов и объектов доступа (ИАФ)

 

 

 

1

ИАФ.7

Идентификация и аутентификация объектов файловой системы, запускаемых и исполняемых модулей, объектов систем управления базами данных, объектов, создаваемых прикладным и специальным программным обеспечением, иных объектов доступа

нет

 

Идентификация и аутентификация объектов файловой системы осуществляется на уровне идентификации поддерживаемых ОС.

Комплекс поддерживает идентификацию и аутентификацию запускаемых и исполняемых модулей на уровне контроля целостности файлов ОС ВМ.

 

 

Регистрация событий безопасности (РСБ)

 

 

 

2

РСБ.8

Обеспечение возможности просмотра и анализа информации о действиях отдельных пользователей в информационной системе

нет

 

В утилите просмотра журнала регистрации событий «LogViewer-V.» предусмотрена возможность ведения статистики по полученным событиям.

Выводится статистика по количеству, типам и результатам полученных событий.

 

 

Защита среды виртуализации (ЗСВ)

 

 

 

3

ЗСВ.5

Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера), серверов управления виртуализацией

 

 

В СПО обеспечивается доверенная загрузка всех элементов ВМ инфраструктуры виртуализации.

 

Итак, путем применения СПО «Аккорд-В.» в информационной системе выполняются следующие меры, включенные в базовый набор мер защиты информации для соответствующего класса защищенности информационной системы:

ИАФ: 1, 2;

УПД: 1, 4, 5, 13, 17;

РСБ: 1, 2, 3, 5, 7;

АНЗ: 2, 3;

ОЦЛ: 1, 3;

ОДТ: 4, 5;

ЗСВ: 1, 3, 6, 7, 8;

ЗИС: 15;

а также дополнительные (не включенные в базовый набор) меры:

ИАФ: 7;

РСБ: 8;

ЗСВ: 5.

 

Выполнение базового набора мер, определенных 31-ым приказом ФСТЭК России по защите информации в автоматизированной системе управления, путем применения СПО «Аккорд-В.»

В таблице № 3 представлено описание выполнения базового набора мер 31-го приказа ФСТЭК по защите информации в автоматизированной системе управления путем применения СПО «Аккорд-В.» (ТУ 26.20.40.140-086-37222406-2020).

Выражение «все» в ячейках столбца «Классы защищенности автоматизированной системы управления» означает, что рассматриваемая мера должна быть реализована в автоматизированной системе управления с любым классом защищенности.

Таблица 3 – Выполнение базового набора мер по защите информации 31-го приказа ФСТЭК по защите информации в автоматизированной системе управления путем применения СПО «Аккорд-В.»

Усл. обозн. и номер меры

Меры защиты информации в автоматизированных системах безопасности

Классы защищенности автоматизированной системы управления

«Аккорд-В.»

 

 

Идентификация и аутентификация (ИАФ)

 

 

1              

ИАФ.0

Разработка политики идентификации и аутентификации

+

все

В СПО разработана политика идентификации и аутентификации администратора безопасности при входе на ESXi сервера.

2              

ИАФ.1

Идентификация и аутентификация пользователей и инициируемых ими процессов

+

все

В СПО «Аккорд-В.» реализован механизм идентификации и аутентификации администратора безопасности при входе на ESXi сервера. Идентификация и аутентификация осуществляется по имени пользователя, паролю.

3              

ИАФ.7

Защита аутентификационной информации при передаче

+

все

При вводе пароль отображается точками.

 

 

Управление доступом (УПД)

 

 

4              

УПД.0

Разработка политики управления доступом

+

все

В СПО разработана политика управления доступом.

5              

УПД.1

Управление учетными записями пользователей

+

все

В СПО «Аккорд-В.» регистрируются администратор безопасности информации, а также системные учетные записи для подсистемы регистрации событий.

6              

УПД.3

Доверенная загрузка

+

начиная со 2 класса защищённости автоматизированной системы управления

СПО «Аккорд-В.» осуществляет доверенную загрузку ВМ инфраструктуры виртуализации VMware vSphere.

7              

УПД.4

Разделение полномочий (ролей) пользователей

+

все

СПО «Аккорд-В» обеспечивает разделение на администратора безопасности информации и пользователей системы.

8              

УПД.5

Назначение минимально необходимых прав и привилегий

+

все

9              

УПД.13

Реализация защищенного удаленного доступа

+

все

Доступ администратора безопасности к ESXi-серверам обеспечивается по защищённому протоколу SHH.

 

 

Аудит безопасности (АУД)

 

 

10            

АУД.0

Разработка политики аудита безопасности

+

все

СПО поддерживает политику аудита безопасности в части обеспечения регистрации событий безопасности, защиты информации о событиях безопасности и анализа действий пользователей.

11            

АУД.4

Регистрация событий безопасности

+

все

СПО «Аккорд-В.» в процессе работы производит регистрацию следующих событий безопасности:

  • о запуске и остановке СПО «Аккорд-В.», а также сообщения о получении информации о режиме работы СПО «Аккорд-В.»;
  • о настройке режима работы СПО «Аккорд-В.»;
  • об добавлении/удалении ВМ и её компонентов на контроль;
  • о проведении проверок целостности ВМ или её компонентов, в том числе о нарушениях целостности;
  • о включении и выключении ВМ;
  • о блокировании и разблокировании ВМ;
  • о работе с виртуальными папками Virtual Folders;
  • о работе с сессией;
  • о включении, выключении, перезагрузке, переходе в режим энергосбережения (suspend режим) ВМ;
  • о включении, выключении, перезагрузке, переходе в режим энергосбережения (suspend режим) vApp;
  • о миграции ВМ;
  • о клонировании ВМ;
  • об изменении конфигурации ВМ;
  • о работе со снапшотами;
  • о включении, выключении, переподключении, работе в режиме обслуживания (maintenance mode) хостов ESXi серверов;
  • об изменении конфигурации ESXi серверов (сетевых настроек, работы firewall, запуска, останова или перезапуска сервисов, работы с ролями и разрешениями);
  • об ошибках в СПО «Аккорд-В.».

12            

АУД.6

Защита информации о событиях безопасности

+

все

Доступ к записям аудита и функциям управления механизмами аудита предоставляется только уполномоченным должностным лицам.

13            

АУД.7

Мониторинг безопасности

+

все

Для того чтобы начать работу с журналом регистрации событий, необходимо запустить с правами администратора ярлык «LogViewer-V.» на АРМ с установленным сервисом регистрации событий.

14            

АУД.9

Анализ действий пользователей

+

в 1 классе защищенности автоматизированной системы управления

В утилите просмотра журнала регистрации событий «LogViewer-V.» предусмотрена возможность ведения статистики по полученным событиям.

Выводится статистика по количеству, типам и результатам полученных событий.

 

 

Обеспечение целостности (ОЦЛ)

 

 

15            

ОЦЛ.0

Разработка политики обеспечения целостности

+

все

В СПО реализована политика обеспечения целостности.

16            

ОЦЛ.1

Контроль целостности программного обеспечения

+

все

СПО «Аккорд-В.» обеспечивает контроль целостности BIOS и MBR включаемых ВМ, файлов, содержащих параметры настройки виртуальных машин, а также системных и пользовательских файлов внутри ВМ.

 

 

Обеспечение доступности (ОДТ)

 

 

17            

ОДТ.0

Разработка политики обеспечения доступности

+

все

СПО поддерживает политику обеспечения доступности в части обеспечения резервного копирования и восстановления резервных копий баз данных агентов СПО «Аккорд‑В.» на ESXi серверах.

18            

ОДТ.4

Резервное копирование информации

+

все

СПО «Аккорд-В.» обеспечивает создание резервных копий баз данных агентов СПО «Аккорд‑В.» на ESXi серверах.

19            

ОДТ.5

Обеспечение возможности восстановления информации

+

все

СПО «Аккорд-В.» обеспечивает восстановление резервных копий баз данных агентов СПО «Аккорд‑В.» на ESXi серверах.

 

 

Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

 

 

20            

ЗИС.0

Разработка политики защиты информационной (автоматизированной) системы и ее компонентов

+

все

СПО обеспечивает защиту информационной (автоматизированной) системы и ее компонентов в части защиты неизменяемых данных и разделения функций по управлению информационной системой.

21            

ЗИС.13

Защита неизменяемых данных

+

все

Производится контроль целостности BIOS и MBR включаемых ВМ, файлов, содержащих параметры настройки виртуальных машин, а также системных и пользовательских файлов внутри ВМ.

22            

ЗИС.39

Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных

+

все

СПО обеспечивает управление размещением и перемещением исполняемых виртуальных машин (контейнеров) между серверами виртуализации в части контроля запуска виртуальных машин на ESXi с установленным агентами из состава СПО «Аккорд-В.».

Управление перемещением виртуальных машин (контейнеров) путем контроля запуска виртуальной машины предусматривает ограничение запуска перемещаемых виртуальных машин (контейнеров) в пределах информационной системы (сегмента информационной системы) на СВТ с установленным СПО «Аккорд-В.».

 

Выполнение дополнительных (не включенных в базовый набор) мер, определенных 31-ым приказом ФСТЭК России по защите информации в автоматизированной системе управления, путем применения СПО «Аккорд-В.»

В таблице № 4 представлено описание выполнения дополнительных (не включенных в базовый набор) мер 31-го приказа ФСТЭК по защите информации в автоматизированной системе управления путем применения СПО «Аккорд-В.» (ТУ 26.20.40.140-086-37222406-2020).

Таблица 4 - Выполнение дополнительных (не включенных в базовый набор) мер по защите информации 31‑го приказа ФСТЭК по защите информации в автоматизированной системе управления путем применения СПО «Аккорд-В.»

Усл. обозн.

Содержание мер по обеспечению безопасности персональных данных

Классы защищенности автоматизированной системы управления

«Аккорд-В.»

 

 

Идентификация и аутентификация (ИАФ)

 

 

1

ИАФ.6

Двусторонняя аутентификация

 

В начале каждого соединения между ПО управления и каждым из агентов «Аккорд-В.» на ESXi-серверах происходит двусторонняя идентификация и аутентификация, поэтому до начала взаимодействия соответствующие сертификаты и ключи распределяются между всеми участниками информационного обмена.

 

Итак, путем применения СПО «Аккорд-В.» в автоматизированной системе управления выполняются следующие меры, включенные в базовый набор мер защиты информации для соответствующего класса защищенности информационной системы:

ИАФ: 1, 7;

УПД: 1, 3, 4, 5, 13;

АУД: 4, 6, 7, 9;

ОЦЛ: 1;

ОДТ: 4, 5;

ЗИС: 13, 39;

а также дополнительные (не включенные в базовый набор) меры:

ИАФ: 6.

[1] Угроза доверенной загрузки может быть признана неактуальной в случае блокирования внешних интерфейсов системного блока компьютера, извлечения CD/DVD-приводов и пр. для исключения возможности произвести загрузку недоверенной ОС со сторонних носителей информации.

Дубликатом бесценного груза
Кнопка связи