Меры приказов ФСТЭК России. «Аккорд-KVM»

Таблица 1 – Выполнение базового набора мер по защите информации 17-го и 21-го приказов ФСТЭК России по защите информации в информационной системе персональных данных путем применения СПО «Аккорд‑KVM»

Таблица 2 – Выполнение дополнительных (не включенных в базовый набор) мер по защите информации 17‑го и 21-го приказов ФСТЭК России по защите информации в информационной системе путем СПО «Аккорд KVM»

Таблица 3 – Выполнение базового набора мер по защите информации 31-го приказа ФСТЭК России по защите информации в автоматизированной системе управления путем применения СПО «Аккорд-KVM»

Таблица 4 – Выполнение дополнительных (не включенных в базовый набор) мер по защите информации 31 го приказа ФСТЭК России по защите информации в автоматизированной системе управления путем применения СПО «Аккорд-KVM»

 

Выполнение базового набора мер, определенных 17-ым и 21-ым приказами ФСТЭК России по защите информации в информационной системе персональных данных, путем применения СПО «Аккорд-KVM»

В таблице № 1 представлено описание выполнения базового набора мер 17-го и 21-го приказов ФСТЭК России по защите информации в информационной системе персональных данных путем применения СПО «Аккорд-KVM» (ТУ 501410-073-37222406-2018).

Выражение «все» в ячейках столбца «Уровни защищенности ПДн» означает, что рассматриваемая мера должна быть реализована в информационной системе с любым уровнем защищенности персональных данных.

Выражение «все» в ячейках столбца «Классы защищенности ИС» означает, что рассматриваемая мера должна быть реализована в информационной системе с любым классом защищенности.

Таблица 1 – Выполнение базового набора мер по защите информации 17-го и 21-го приказов ФСТЭК России по защите информации в информационной системе персональных данных путем применения СПО «Аккорд‑KVM»

Усл. обозн.

Содержание мер по обеспечению безопасности персональных данных

Уровни защищенности ПДн

Классы защищенности ИС

«Аккорд-KVM»

Ссылки на документацию

 

 

Идентификация и аутентификация субъектов и объектов доступа (ИАФ)

 

 

 

 

ИАФ.1

Идентификация и аутентификация пользователей, являющихся работниками оператора

+

все

+

все

Обеспечивается за счет применения комплекса «Аккорд‑Х К».

1. п.п. 2.1.1, 2.1.2 документа «Аккорд‑X K. Руководство оператора (пользователя)»;

2. п.п. 3.2.9 документа «Аккорд‑X K. Руководство администратора».

ИАФ.2

Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных

+

начиная со 2 уровня защищенности ПДн

+

начиная со 2 класса защищенности ИС

Обеспечивается средствами модуля доверенной загрузки из состава ПАК «Аккорд-Х» («Аккорд‑XL»), а также за счет применения комплекса «Аккорд‑Х К».

1. п.п. 3.10, 3.12 документа «Аккорд‑АМДЗ. Руководство администратора»;

2. п.п. 3.2.9 документа «Аккорд‑X K. Руководство администратора».

ИАФ.3

Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов

+

все

+

все

Обеспечивается за счет применения комплекса «Аккорд‑Х К».

1. п.п. 3.2.3 документа «Аккорд‑X K. Руководство администратора».

ИАФ.4

Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации

+

все

+

все

1. п.п. 3.2.2, 3.2.3 документа «Аккорд‑X K. Руководство администратора».

ИАФ.5

Защита обратной связи при вводе аутентификационной информации

+

все

+

все

 

ИАФ.6

Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)

+

все

+

все

 

 

 

Управление доступом субъектов доступа к объектам доступа (УПД)

 

 

 

 

УПД.1

Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей

+

все

+

все

Обеспечивается за счет применения комплекса и «Аккорд‑Х К».

1. п.п. 3.2.2, 3.2.3 документа «Аккорд‑X K. Руководство администратора».

УПД.2

Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа

+

все

+

все

1. п.п. 3.2.6, 3.2.7, 5.2 документа «Аккорд‑X K. Руководство администратора».

УПД.4

Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы

+

все

+

все

1. п.п. 3.4.4-3.4.7 документа «Аккорд‑X. Руководство администратора».

10 

УПД.5

Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы

+

все

+

все

11 

УПД.6

Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе)

+

все

+

все

1. п.п. 3.2.9 документа «Аккорд‑X K. Руководство администратора».

12 

УПД.9

Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы

не входит в базовый набор мер

+

начиная с 1 класса защищенности ИС

1. п.п. 3.2.2 документа «Аккорд‑X K. Руководство администратора».

13 

УПД.10

Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу

+

начиная с 3 уровня защищенности ПДн

+

все

1. п.п. 3.2.9 документа «Аккорд‑X K. Руководство администратора».

14 

УПД.11

Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации

+

начиная с 3 уровня защищенности ПДн

+

все

1. п.п. 2.2 документа «Аккорд-Х K. Руководство пользователя».

15 

УПД.15

Регламентация и контроль использования в информационной системе мобильных технических устройств

+

все

+

все

1. п.п 3.2.12 документа «Аккорд-Х K. Руководство администратора».

16 

УПД.17

Обеспечение доверенной загрузки средств вычислительной техники[1]

+

начиная со 2 уровня защищенности ПДн

+

начиная со 2 класса защищенности ИС

Мера УПД.17 выполняется при условии совместного применения «Аккорд-KVM» и ПАК «Аккорд‑Х» (или «Аккорд‑ХL») за счет наличия в составе комплекса модуля доверенной загрузки «Аккорд‑АМДЗ».

1. п.п. 1.1, 3.10 документа «Аккорд-АМДЗ. Руководство администратора»;

2. п.п 3.1 документа «Аккорд-АМДЗ. Руководство пользователя».

 

 

Ограничение программной среды (ОПС)

 

 

 

 

17 

ОПС.1

Управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспечения

не входит в базовый набор мер

+

начиная с 1 класса защищенности ИС

Обеспечивается за счет применения комплекса и «Аккорд‑Х К».

1. п.п 3.2.7, 3.2.8, 5.2 документа «Аккорд-Х K. Руководство пользователя».

 

 

Защита машинных носителей персональных данных (ЗНИ)

 

 

 

 

18 

ЗНИ.2

Управление доступом к машинным носителям персональных данных

+

начиная со 2 уровня защищенности ПДн

+

все

Обеспечивается за счет модуля доверенной загрузки из состава комплекса «Аккорд-Х» («Аккорд‑XL»).

 

19 

ЗНИ.5

Контроль использования интерфейсов ввода (вывода) информации на машинные носители персональных данных

не входит в базовый набор мер

+

начиная со 2 класса защищенности ИС

Обеспечивается за счет применения комплекса и «Аккорд‑Х К».

1. п.п 3.2.12 документа «Аккорд-Х K. Руководство администратора».

20 

ЗНИ.8

Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания

+

начиная с 3 уровня защищенности ПДн

+

все

1. п.п 3.2.2, 5.2 документа «Аккорд-Х K. Руководство администратора».

 

 

Регистрация событий безопасности (РСБ)

 

 

 

 

21 

РСБ.1

Определение событий безопасности, подлежащих регистрации, и сроков их хранения

+

все

+

все

СПО «Аккорд-KVM» в процессе работы производит регистрацию следующих событий безопасности:

– о запуске и остановке СПО «Аккорд-KVM», а также сообщения о получении информации о режиме работы СПО «Аккорд-KVM»;

– о создании базы данных;

– о настройке режима работы СПО «Аккорд-KVM»;

– об добавлении/удалении ВМ и её компонентов на контроль;

– о проведении проверок целостности ВМ или её компонентов, в том числе о нарушениях целостности;

– о включении ВМ;

– о выключении ВМ;

– об ошибках в СПО «Аккорд-KVM».

1. п. 4 документа «Аккорд‑KVM. Руководство администратора».

22 

РСБ.2

Определение состава и содержания информации о событиях безопасности, подлежащих регистрации

+

все

+

все

23 

РСБ.3

Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения

+

все

+

все

В СПО «Аккорд-KVM» обеспечено автоматизированное управление сбором, записью и хранением информации о событиях безопасности.

СПО «Аккорд-KVM» в ходе своей работы формирует сообщения о задании, изменении и удалении настроек контроля целостности ВМ и о результатах контрольных процедур при запуске или миграции ВМ. Сообщения записываются в журнал событий, расположенный, по умолчанию, в директории /var/log/accordkvm.

24 

РСБ.4

Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти

не входит в базовый набор

+

все

Обеспечивается за счет модуля доверенной загрузки из состава комплекса «Аккорд-Х» («Аккорд‑XL»).

1. п.п. 3.11 документа «Аккорд‑АМДЗ. Руководство администратора».

25 

РСБ.5

Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них

+

начиная со 2 уровня защищенности ПДн

+

все

Для обеспечения возможности мониторинга работы СПО «Аккорд‑KVM» с виртуальными машинами в CПО ведется журнал регистрации событий.

1. п. 4 документа «Аккорд‑KVM. Руководство администратора».

26 

РСБ.7

Защита информации о событиях безопасности

+

все

+

все

Обеспечивается за счет применения комплекса «Аккорд-Х К».

1. п.п. 4.4 документа «Аккорд‑X K. Руководство администратора»;

 

 

Контроль (анализ) защищенности персональных данных (АНЗ)

 

 

 

 

27 

АНЗ.1

Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей

+

начиная с 3 уровня защищенности ПДн

+

все

Обеспечивается за счет применения комплексов «Аккорд-Х», «Аккорд‑XL» (в составе которых имеется модуль доверенной загрузки) и «Аккорд‑Х К».

1. п. 3 документа «Аккорд‑Х. Руководство администратора»;

2. п. 3 документа «Аккорд‑Х K. Руководство администратора»;

3. п. 6 документа «Аккорд‑АМДЗ. Формуляр».

28 

АНЗ.2

Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации

+

все

+

все

Комплекс обеспечивает возможность установки обновлений программного обеспечения.

1. п.п. 5.3 документа «Аккорд‑KVM. Технические условия».

29 

АНЗ.3

Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации

+

начиная со 2 уровня защищенности ПДн

+

все

Обеспечивается за счет модуля доверенной загрузки из состава комплекса «Аккорд-Х», «Аккорд‑XL».

1. п.п. 3.1, 3.16 документа «Аккорд-АМДЗ. Руководство администратора».

30 

АНЗ.4

Контроль состава технических средств, программного обеспечения и средств защиты информации

+

начиная с3 уровня защищенности ПДн

+

все

В СПО реализован механизмы

– контроля целостности программных компонентов ВМ (файлов общего, прикладного ПО и данных), выполняемого до их запуска;

– контроля целостности конфигурации ВМ, выполняемого до запуска ВМ.

1. п.п. 3.6, 3.7 документа «Аккорд‑KVM. Руководство администратора».

31 

АНЗ.5

Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступа, полномочий пользователей в информационной системе

+

начиная со 2 уровня защищенности ПДн

+

все

Обеспечивается за счет применения комплекса и «Аккорд‑Х К».

1. п.п. 3.2.3-3.2.5 документа «Аккорд‑X K. Руководство администратора».

 

 

Обеспечение целостности информационной системы и персональных данных (ОЦЛ)

 

 

 

 

32 

ОЦЛ.1

Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации

+

начиная со 2 уровня защищенности ПДн

+

начиная со 2 класса защищенности ИС

СПО «Аккорд-KVM» обеспечивает:

– контроль целостности программных компонентов ВМ (файлов общего, прикладного ПО и данных), выполняемый до их запуска;

– контроль целостности конфигурации ВМ, выполняемый до запуска ВМ.

1. п.п. 3.6, 3.7 документа «Аккорд‑KVM. Руководство администратора».

33 

ОЦЛ.3

Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций

не входит в базовый набор мер

+

все

Обеспечивается за счет модуля доверенной загрузки из состава комплекса «Аккорд-Х» («Аккорд‑XL»).

1. п.п. 3.14 документа «Аккорд-АМДЗ. Руководство администратора».

34 

ОЦЛ.6

Ограничение прав пользователей по вводу информации в информационную систему

не входит в базовый набор мер

+

начиная 1 класса защищенности ИС

Обеспечивается за счет применения комплекса и «Аккорд‑Х К».

1. п.п. 3.2.6, 3.2.7 документа «Аккорд‑X K. Руководство администратора».

 

 

Защита среды виртуализации (ЗСВ)

 

 

 

 

35 

ЗСВ.1

Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации

+

все

+

все

Обеспечивается средствами «Аккорд‑Х К».

1. п.п. 2.1.1, 2.1.2 документа «Аккорд‑X K. Руководство оператора (пользователя)»;

2. п.п. 3.2.9 документа «Аккорд‑X K. Руководство администратора».

36 

ЗСВ.2

Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин

+

все

+

все

Обеспечивается средствами «Аккорд‑Х К».

1. п.п. 3.2.6, 3.2.7, 3.2.10, 3.2.12 документа «Аккорд‑X K. Руководство администратора».

37 

ЗСВ.3

Регистрация событий безопасности в виртуальной инфраструктуре

+

начиная с 3 уровня защищенности ПДн

+

все

В СПО «Аккорд-KVM» обеспечено централизованное автоматизированное управление сбором, записью и хранением информации о событиях безопасности.

1. п. 4 документа «Аккорд‑KVM. Руководство администратора».

38 

ЗСВ.6

Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных

+

начиная со 2 уровня защищенности ПДн

+

начиная со 2 класса защищенности ИС

Комплекс обеспечивает управление размещением и перемещением исполняемых виртуальных машин между контролируемыми СПО «Аккорд-KVM» серверами виртуализации путем контроля запуска ВМ.

1. п. 3.10 документа «Аккорд‑KVM. Руководство администратора».

39 

ЗСВ.7

Контроль целостности виртуальной инфраструктуры и ее конфигураций

+

начиная со 2 уровня защищенности ПДн

+

начиная со 2 класса защищенности ИС

СПО «Аккорд-KVM» осуществляет

– контроль целостности программных компонентов ВМ (файлов общего, прикладного ПО и данных), выполняемый до их запуска;

– контроль целостности конфигурации ВМ, выполняемый до запуска ВМ.

1. п.п. 3.6, 3.7 документа «Аккорд‑KVM. Руководство администратора».

 

 

Обеспечение доступности персональных данных (ОДТ)

 

 

 

 

40 

ОДТ.3

Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование

+

на 1 уровне защищенности ПДн

+

начиная со 2 класса защищенности ИС

Обеспечивается за счет модуля доверенной загрузки из состава комплекса «Аккорд-Х» («Аккорд‑XL»).

1. п.п. 3.16 документа «Аккорд‑АМДЗ. Руководство администратора».

41 

ОДТ.4

Периодическое резервное копирование персональных данных на резервные машинные носители персональных данных

+

начиная со 2 уровня защищенности ПДн

+

начиная со 2 класса защищенности ИС

1. п.п. 3.14 документа «Аккорд-АМДЗ. Руководство администратора».

42 

ОДТ.5

Обеспечение возможности восстановления персональных данных с резервных машинных носителей персональных данных (резервных копий) в течение установленного временного интервала

+

начиная со 2 уровня защищенности ПДн

+

начиная со 2 класса защищенности ИС

1. п.п. 3.14 документа «Аккорд-АМДЗ. Руководство администратора».

 

 

Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС)

 

 

 

 

43 

ЗИС.1

Разделение в информационной системе функций по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты персональных данных, функций по обработке персональных данных и иных функций информационной системы

+

начиная с 1 уровня защищенности ПДн

+

начиная со 2 класса защищенности ИС

Обеспечивается за счет применения комплекса «Аккорд-Х К».

1. п.п. 3.2.4, 3.2.5 документа «Аккорд‑X K. Руководство администратора»;

2. п.п. 3.4.4, 3.4.5 документа «Аккорд‑X. Руководство администратора».

44 

ЗИС.5

Запрет несанкционированной удаленной активации видеокамер, микрофонов и иных периферийных устройств, которые могут активироваться удаленно, и оповещение пользователей об активации таких устройств

 

+

все

1. п.п. 3.4.13 документа «Аккорд-Х. Руководство администратора»;

2. п.п 3.2.12 документа «Аккорд-Х K. Руководство администратора».

45 

ЗИС.15

Защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки персональных данных

+

начиная со 2 уровня защищенности ПДн

+

начиная со 2 класса защищенности ИС

СПО «Аккорд-KVM» осуществляет контроль целостности виртуальной инфраструктуры и ее конфигурации.

1. п.п. 3.6, 3.7 документа «Аккорд‑KVM. Руководство администратора».

46 

ЗИС.21

Исключение доступа пользователя к информации, возникшей в результате действий предыдущего пользователя через реестры, оперативную память, внешние запоминающие устройства и иные общие для пользователей ресурсы информационной системы

нет

+

начиная с 1 класса защищенности ИС

Обеспечивается за счет применения комплекса «Аккорд-Х К».

1. п.п. 3.4.2, 5.2 документа «Аккорд-Х. Руководство администратора»;

2. п.п 3.2.2, 5.2 документа «Аккорд-Х K. Руководство администратора».

47 

ЗИС.30

Защита мобильных технических средств, применяемых в информационной системе

нет

+

все

1. п.п. 3.4.13 документа «Аккорд-Х. Руководство администратора»;

2. п.п 3.2.12 документа «Аккорд-Х K. Руководство администратора».

 

 

Выявление инцидентов и реагирование на них (ИНЦ)

 

 

 

 

48 

ИНЦ.2

Обнаружение, идентификация и регистрация инцидентов

+

начиная со 2 уровня защищенности ПДн

нет

Обеспечивается за счет применения комплекса «Аккорд-Х К».

1. Приложение 3 документа «Аккорд‑X K. Руководство администратора».

 

Выполнение дополнительных (не включенных в базовый набор) мер, определенных 17-ым и 21-ым приказами ФСТЭК России по защите информации в информационной системе, путем применения СПО «Аккорд‑KVM»

В таблице № 2 представлено описание выполнения дополнительных (не включенных в базовый набор) мер 17-го и 21-го приказов ФСТЭК России по защите информации в информационной системе путем применения СПО «Аккорд KVM» (ТУ 501410-073-37222406-2018).

Выражением «нет» выделены ячейки столбца «Уровни защищенности ПДн», которые относятся к требованиям, содержащимся только в 17-ом приказе ФСТЭК России, и, следовательно, не относящимся к уровням защищенности ПДн.

Таблица 2 - Выполнение дополнительных (не включенных в базовый набор) мер по защите информации 17‑го и 21-го приказов ФСТЭК России по защите информации в информационной системе путем СПО «Аккорд KVM»

Усл. обозн.

Содержание мер по обеспечению безопасности персональных данных

Уровни защищенности ПДн

Классы защищенности ИС

«Аккорд-KVM»

Ссылки на документацию

 

 

Идентификация и аутентификация субъектов и объектов доступа (ИАФ)

 

 

 

 

ИАФ.7

Идентификация и аутентификация объектов файловой системы, запускаемых и исполняемых модулей, объектов систем управления базами данных, объектов, создаваемых прикладным и специальным программным обеспечением, иных объектов доступа

нет

 

Идентификация и аутентификация объектов файловой системы осуществляется на уровне идентификации поддерживаемых ОС.

Комплекс поддерживает идентификацию и аутентификацию запускаемых и исполняемых модулей на уровне контроля целостности файлов ОС ВМ.

1. п.п. 3.7 документа «Аккорд‑KVM. Руководство администратора».

 

 

Управление доступом субъектов доступа к объектам доступа (УПД)

 

 

 

 

УПД.12

Поддержка и сохранение атрибутов безопасности (меток безопасности), связанных с информацией в процессе ее хранения и обработки

 

 

Обеспечивается за счет применения комплекса «Аккорд-Х К».

1. п.п. 3.2.6, 3.2.7, 5.2 документа «Аккорд‑X K. Руководство администратора».

 

 

Ограничение программной среды (ОПС)

 

 

 

 

ОПС.4

Управление временными файлами, в том числе запрет, разрешение, перенаправление записи, удаление временных файлов

 

 

Обеспечивается средствами ОС Linux (с помощью специального механизма swap).

 

 

 

Защита машинных носителей персональных данных (ЗНИ)

 

 

 

 

ЗНИ.6

Контроль ввода (вывода) информации на машинные носители персональных данных

 

 

Обеспечивается за счет применения комплекса «Аккорд-Х К».

1. п.п 3.2.12 документа «Аккорд-Х K. Руководство администратора».

ЗНИ.7

Контроль подключения машинных носителей персональных данных

 

 

 

 

Регистрация событий безопасности (РСБ)

 

 

 

 

РСБ.8

Обеспечение возможности просмотра и анализа информации о действиях отдельных пользователей в информационной системе

нет

 

В журнале событий обеспечена возможность просмотра действий пользователя по настройке СПО «Аккорд-KVM» и результатов проверок целостности ВМ и её компонент в момент запуска или миграции.

1. п. 4 документа «Аккорд‑KVM. Руководство администратора».

 

 

Обеспечение целостности информационной системы и персональных данных (ОЦЛ)

 

 

 

 

ОЦЛ.2

Контроль целостности персональных данных, содержащихся в базах данных информационной системы

 

 

Обеспечивается за счет применения комплекса «Аккорд-Х К».

1. п.п 2.1.2, 2.2, 3.2.2, 3.2.6, 3.2.8, 5.6, 5.7 документа «Аккорд-Х K. Руководство администратора».

ОЦЛ.5

Контроль содержания информации, передаваемой из информационной системы (контейнерный, основанный на свойствах объекта доступа, и (или) контентный, основанный на поиске запрещенной к передаче информации с использованием сигнатур, масок и иных методов), и исключение неправомерной передачи информации из информационной системы

 

 

1. п.п. 3.2.12 документа «Аккорд-Х K. Руководство администратора».

ОЦЛ.8

Контроль ошибочных действий пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действиях

 

 

1. п.п. 3.2.2, Приложение 3 документа «Аккорд-Х K. Руководство администратора».

 

 

Защита среды виртуализации (ЗСВ)

 

 

 

 

10 

ЗСВ.5

Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера), серверов управления виртуализацией

 

 

При условии совместного применения СПО «Аккорд-KVM» и ПАК «Аккорд‑Х» (или «Аккорд‑ХL»), в состав которых входит модуль доверенной загрузки «Аккорд‑АМДЗ», обеспечивается доверенная загрузка инфраструктуры виртуализации.

1. п.п. 1.1, 3.10 документа «Аккорд-АМДЗ. Руководство администратора»;

2. п.п 3.1 документа «Аккорд-АМДЗ. Руководство пользователя».

 

 

Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС)

 

 

 

 

11 

ЗИС.19

Изоляция процессов (выполнение программ) в выделенной области памяти

 

 

Обеспечивается средствами ОС.

 

12 

ЗИС.29

Перевод информационной системы или ее устройств (компонентов) в заранее определенную конфигурацию, обеспечивающую защиту информации, в случае возникновении отказов (сбоев) в системе защиты информации информационной системы

нет

 

Обеспечивается за счет модуля доверенной загрузки из состава комплекса «Аккорд-Х» («Аккорд‑XL»).

Посредством комплекса «Аккорд‑АМДЗ» возможно:

‒ резервное копирование информации в соответствии с мерой ОДТ.4;

‒ контроль безотказного функционирования технических средств ИС в соответствии с мерой ОДТ.3;

‒ обеспечение возможности восстановления информации с резервных машинных носителей информации (резервных копий) в соответствии с мерой ОДТ.5.

1. п.п. 3.14, 3.16 документа «Аккорд‑АМДЗ. Руководство администратора».

 

Итак, путем применения СПО «Аккорд‑KVM» в информационной системе персональных данных выполняются следующие меры, включенные в базовый набор мер защиты информации для соответствующего класса защищенности информационной системы:

ИАФ: 1, 2, 3, 4, 5, 6;

УПД: 1, 2, 4, 5, 6, 9, 10, 11, 15, 17;

ОПС: 1;

ЗНИ: 2, 5, 8;

РСБ: 1, 2, 3, 4, 5, 7;

АНЗ: 1, 2, 3, 4, 5;

ОЦЛ: 1, 3, 6;

ЗСВ: 1, 2, 3, 6, 7;

ОДТ: 3, 4, 5;

ЗИС: 1, 5, 15, 21, 30;

ИНЦ: 2;

а также дополнительные (не включенные в базовый набор) меры:

ИАФ: 7;

УПД: 12;

ОПС: 4;

ЗНИ: 6, 7;

РСБ: 8;

ОЦЛ: 2, 5, 8;

ЗСВ: 5;

ЗИС: 19, 29.

 

Выполнение базового набора мер, определенных 31-ым приказом ФСТЭК России по защите информации в автоматизированной системе управления, путем применения СПО «Аккорд-KVM»

В таблице № 3 представлено описание выполнения базового набора мер 31-го приказа ФСТЭК России по защите информации в автоматизированной системе управления путем применения СПО «Аккорд-KVM» (ТУ 501410-073-37222406-2018).

Выражение «все» в ячейках столбца «Классы защищенности автоматизированной системы управления» означает, что рассматриваемая мера должна быть реализована в автоматизированной системе управления с любым классом защищенности.

Таблица 3 – Выполнение базового набора мер по защите информации 31-го приказа ФСТЭК России по защите информации в автоматизированной системе управления путем применения СПО «Аккорд-KVM»

Усл. обозн. и номер меры

Меры защиты информации в автоматизированных системах безопасности

Классы защищенности автоматизированной системы управления

«Аккорд-KVM»

Ссылки на документацию

 

 

Идентификация и аутентификация (ИАФ)

 

 

 

ИАФ.0

Разработка политики идентификации и аутентификации

+

все

 

 

ИАФ.1

Идентификация и аутентификация пользователей и инициируемых ими процессов

+

все

Обеспечивается средствами комплекса «Аккорд‑X K».

1. п.п. 3.10, 3.12 документа «Аккорд‑АМДЗ. Руководство администратора»;

2. п.п. 3.2.9 документа «Аккорд‑X K. Руководство администратора».

ИАФ.2

Идентификация и аутентификация устройств

+

все

Обеспечивается средствами модуля доверенной загрузки из состава ПАК «Аккорд-Х» («Аккорд‑XL»), а также за счет применения комплекса «Аккорд‑Х К».

1. п.п. 3.10, 3.12 документа «Аккорд‑АМДЗ. Руководство администратора»;

2. п.п. 3.2.9 документа «Аккорд‑X K. Руководство администратора».

ИАФ.3

Управление идентификаторами

+

все

Обеспечивается средствами комплекса «Аккорд‑X K».

1. п.п. 3.2.3 документа «Аккорд‑X K. Руководство администратора».

ИАФ.4

Управление средствами аутентификации

+

все

1. п.п. 3.2.2, 3.2.3 документа «Аккорд‑X K. Руководство администратора».

ИАФ.5

Идентификация и аутентификация внешних пользователей

+

все

 

ИАФ.7

Защита аутентификационной информации при передаче

+

все

 

 

 

Управление доступом (УПД)

 

 

 

УПД.0

Разработка политики управления доступом

+

все

Обеспечивается средствами комплекса «Аккорд‑X K».

 

УПД.1

Управление учетными записями пользователей

+

все

1. п.п. 3.2.2, 3.2.3 документа «Аккорд‑X K. Руководство администратора».

10 

УПД.2

Реализация политик управления доступом

+

все

1. п.п. 3.2.6, 3.2.7, 5.2 документа «Аккорд‑X K. Руководство администратора».

11 

УПД.3

Доверенная загрузка

+

начиная со 2 класса защищенности автоматизированной системы управления

Мера УПД.3 выполняется при условии совместного применения «Аккорд-KVM» и ПАК «Аккорд‑Х» (или «Аккорд‑ХL») за счет наличия в составе комплекса модуля доверенной загрузки «Аккорд‑АМДЗ».

1. п.п. 1.1, 3.10 документа «Аккорд-АМДЗ. Руководство администратора»;

2. п.п 3.1 документа «Аккорд-АМДЗ. Руководство пользователя».

12 

УПД.4

Разделение полномочий (ролей) пользователей

+

все

Обеспечивается средствами комплекса «Аккорд‑X K».

1. п.п. 3.2.4-3.2.7 документа «Аккорд‑X K. Руководство администратора».

13 

УПД.5

Назначение минимально необходимых прав и привилегий

+

все

14 

УПД.6

Ограничение неуспешных попыток доступа в информационную (автоматизированную) систему

+

все

1. п.п. 3.2.9 документа «Аккорд‑X K. Руководство администратора».

15 

УПД.9

Ограничение числа параллельных сеансов доступа

+

начиная с 1 класса защищенности автоматизированной системы управления

1. п.п. 3.2.2 документа «Аккорд‑X K. Руководство администратора».

16 

УПД.10

Блокирование сеанса доступа пользователя при неактивности

+

все

1. п.п. 3.2.9 документа «Аккорд‑X K. Руководство администратора».

17 

УПД.11

Управление действиями пользователей до идентификации и аутентификации

+

все

1. п.п. 2.2 документа «Аккорд-Х K. Руководство пользователя».

 

 

Ограничение программной среды (ОПС)

 

 

 

18 

ОПС.0

Разработка политики ограничения программной среды

+

начиная со 2 класса защищенности автоматизированной системы управления

Обеспечивается средствами комплекса «Аккорд‑X K».

 

19 

ОПС.1

Управление запуском (обращениями) компонентов программного обеспечения

+

начиная с 1 класса защищенности автоматизированной системы управления

1. п.п 3.2.7, 3.2.8, 5.2 документа «Аккорд-Х K. Руководство пользователя».

 

 

Защита машинных носителей информации (ЗНИ)

 

 

 

20 

ЗНИ.0

Разработка политики защиты машинных носителей информации

+

все

Обеспечивается средствами комплекса «Аккорд‑X K».

 

21 

ЗНИ.2

Управление физическим доступом к машинным носителям информации

+

все

Обеспечивается средствами модуля доверенной загрузки из состава ПАК «Аккорд-Х» («Аккорд‑XL»), а также за счет применения комплекса «Аккорд‑Х К».

 

22 

ЗНИ.5

Контроль использования интерфейсов ввода (вывода) информации на машинные носители информации

+

все

 

1. п.п 3.2.12 документа «Аккорд-Х K. Руководство администратора».

23 

ЗНИ.6

Контроль ввода (вывода) информации на машинные носители информации

+

начиная с 1 класса защищенности автоматизированной системы управления

24 

ЗНИ.7

Контроль подключения машинных носителей информации

+

все

25 

ЗНИ.8

Уничтожение (стирание) информации на машинных носителях информации

+

все

1. п.п 3.2.2, 5.2 документа «Аккорд-Х K. Руководство администратора».

 

 

Аудит безопасности (АУД)

 

 

 

26 

АУД.0

Разработка политики аудита безопасности

+

все

В комплексе реализована политика аудита безопасности в части регистрации событий безопасности и защиты событий безопасности информации.

 

27 

АУД.2

Анализ уязвимостей и их устранение

+

все

Обеспечивается за счет применения комплексов «Аккорд-Х», «Аккорд‑XL» (в составе которых имеется модуль доверенной загрузки) и «Аккорд‑Х К».

1. п. 3 документа «Аккорд‑Х. Руководство администратора»;

2. п. 3 документа «Аккорд‑Х K. Руководство администратора»;

3. п. 6 документа «Аккорд‑АМДЗ. Формуляр».

28 

АУД.4

Регистрация событий безопасности

+

все

СПО «Аккорд-KVM» в процессе работы производит регистрацию следующих событий безопасности:

– о запуске и остановке СПО «Аккорд-KVM», а также сообщения о получении информации о режиме работы СПО «Аккорд-KVM»;

– о создании базы данных;

– о настройке режима работы СПО «Аккорд-KVM»;

– об добавлении/удалении ВМ и её компонентов на контроль;

– о проведении проверок целостности ВМ или её компонентов, в том числе о нарушениях целостности;

– о включении ВМ;

– о выключении ВМ;

– об ошибках в СПО «Аккорд-KVM».

1. п. 4 документа «Аккорд‑KVM. Руководство администратора».

29 

АУД.6

Защита информации о событиях безопасности

+

все

Обеспечивается за счет применения комплексов «Аккорд-Х К».

1. п.п. 4.4 документа «Аккорд‑X K. Руководство администратора»;

30 

АУД.7

Мониторинг безопасности

+

все

Для обеспечения возможности мониторинга работы СПО «Аккорд-KVM» с виртуальными машинами в CПО ведется журнал регистрации событий.

1. п. 4 документа «Аккорд‑KVM. Руководство администратора».

31 

АУД.8

Реагирование на сбои при регистрации событий безопасности

+

все

Обеспечивается средствами модуля доверенной загрузки из состава ПАК «Аккорд-Х» («Аккорд‑XL»), а также за счет применения комплекса «Аккорд‑Х К».

1. п.п. 3.11 документа «Аккорд‑АМДЗ. Руководство администратора».

32 

АУД.9

Анализ действий пользователей

+

начиная с 1 класса защищенности автоматизированной системы управления

В журнале событий обеспечена возможность просмотра действий пользователя по настройке СПО «Аккорд-KVM» и результатов проверок целостности ВМ и её компонент в момент запуска или миграции.

1. п. 4 документа «Аккорд‑KVM. Руководство администратора».

 

 

Обеспечение целостности (ОЦЛ)

 

 

 

33 

ОЦЛ.0

Разработка политики обеспечения целостности

+

все

В комплексе реализована политика обеспечения целостности.

 

34 

ОЦЛ.1

Контроль целостности программного обеспечения

+

все

СПО «Аккорд-KVM» обеспечивает:

– контроль целостности программных компонентов ВМ (файлов общего, прикладного ПО и данных), выполняемый до их запуска;

– контроль целостности конфигурации ВМ, выполняемый до запуска ВМ.

1. п.п. 3.6, 3.7 документа «Аккорд‑KVM. Руководство администратора».

35 

ОЦЛ.3

Ограничение по вводу информации в информационную (автоматизированную) систему

+

начиная с 1 класса защищенности автоматизированной системы управления

Обеспечивается за счет применения комплексов «Аккорд‑X K».

1. п.п. 3.2.6, 3.2.7 документа «Аккорд‑X K. Руководство администратора».

36 

ОЦЛ.4

Контроль данных, вводимых в информационную (автоматизированную) систему

+

начиная со 2 класса защищенности автоматизированной системы управления

1. п.п. 3.2.12 документа «Аккорд-Х K. Руководство администратора».

37 

ОЦЛ.5

Контроль ошибочных действий пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действиях

+

начиная со 2 класса защищенности автоматизированной системы управления

1. п.п. 3.2.2, Приложение 3 документа «Аккорд-Х K. Руководство администратора».

 

 

Обеспечение доступности (ОДТ)

 

 

 

38 

ОДТ.0

Разработка политики обеспечения доступности

+

все

Обеспечивается за счет модуля доверенной загрузки из состава комплекса «Аккорд-Х» или «Аккорд‑XL».

 

39 

ОДТ.3

Контроль безотказного функционирования средств и систем

+

во 2 классе защищенности автоматизированной системы управления

1. п.п. 3.16 документа «Аккорд‑АМДЗ. Руководство администратора».

40 

ОДТ.4

Резервное копирование информации

+

все

1. п.п. 3.14 документа «Аккорд-АМДЗ. Руководство администратора».

41 

ОДТ.5

Обеспечение возможности восстановления информации

+

все

 

 

Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

 

 

 

42 

ЗИС.0

Разработка политики защиты информационной (автоматизированной) системы и ее компонентов

+

все

Политика защиты информационной (автоматизированной) системы и ее компонентов обеспечивается за счет применения комплекса «Аккорд-Х К».

 

43 

ЗИС.1

Разделение функций по управлению (администрированию) информационной (автоматизированной) системой с иными функциями

+

все

Обеспечивается за счет применения комплекса «Аккорд-Х К».

1. п.п. 3.2.4, 3.2.5 документа «Аккорд‑X K. Руководство администратора».

44 

ЗИС.13

Защита неизменяемых данных

+

начиная со 2 класса защищенности автоматизированной системы управления

СПО «Аккорд-KVM» осуществляет контроль целостности виртуальной инфраструктуры и ее конфигурации.

1. п.п. 3.6, 3.7 документа «Аккорд‑KVM. Руководство администратора».

45 

ЗИС.21

Запрет несанкционированной удаленной активации периферийных устройств

+

все

Обеспечивается за счет применения комплекса «Аккорд-Х К».

1. п.п. 3.4.13 документа «Аккорд-Х. Руководство администратора»;

2. п.п 3.2.12 документа «Аккорд-Х K. Руководство администратора».

46 

ЗИС.33

Исключение доступа через общие ресурсы

+

начиная с 1 класса защищенности автоматизированной системы управления

1. п.п. 3.4.2, 5.2 документа «Аккорд-Х. Руководство администратора»;

2. п.п 3.2.2, 5.2 документа «Аккорд-Х K. Руководство администратора».

47 

ЗИС.38

Защита информации при использовании мобильных устройств

+

все

1. п.п. 3.4.13 документа «Аккорд-Х. Руководство администратора»;

2. п.п 3.2.12 документа «Аккорд-Х K. Руководство администратора».

48 

ЗИС.39

Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных

+

все

Комплекс обеспечивает управление размещением и перемещением исполняемых виртуальных машин между контролируемыми СПО «Аккорд-KVM» серверами виртуализации путем контроля запуска ВМ.

1. п. 3.10 документа «Аккорд‑KVM. Руководство администратора».

 

 

Реагирование на компьютерные инциденты (ИНЦ)

 

 

 

49 

ИНЦ.0

Разработка политики реагирования на компьютерные инциденты

+

все

Обеспечивается за счет применения комплекса «Аккорд-Х К».

 

50 

ИНЦ.1

Выявление компьютерных инцидентов

+

все

1. Приложение 3 документа «Аккорд X K. Руководство администратора».

51 

ИНЦ.2

Информирование о компьютерных инцидентах

+

все

 

 

Управление обновлениями программного обеспечения (ОПО)

 

 

 

52 

ОПО.0

Разработка политики управления обновлениями программного обеспечения

+

все

Обновление СПО «Аккорд‑KVM» выполняется эксплуатирующей организацией в соответствии с ТУ на комплекс.

В случае применения СПО «Аккорд‑KVM» совместно с «Аккорд‑X K», обновление «Аккорд‑X K» также выполняется эксплуатирующей организацией в соответствии с ТУ на комплекс.

В случае применения СПО «Аккорд‑KVM» совместно с ПАК «Аккорд‑X» или «Аккорд-XL» предусмотрена возможность обновления в том числе ПО (firmware) модуля доверенной загрузки, который входит в состав ПАК «Аккорд-Х» и ПАК «Аккорд-XL».

Обновление прошивки модуля доверенной загрузки выполняется в сервисном центре Разработчика ПО.

 

53 

ОПО.4

Установка обновлений программного обеспечения

+

все

1. п. 3 документа «Аккорд‑Х K. Руководство администратора»;

2. п. 6 документа «Аккорд‑KVM. Формуляр».

3. п. 6 документа «Аккорд‑АМДЗ. Формуляр».

 

 

Обеспечение действий в нештатных ситуациях (ДНС)

 

 

 

54 

ДНС.0

Разработка политики обеспечения действий в нештатных ситуациях

+

все

 

 

55 

ДНС.4

Резервирование программного обеспечения, технических средств, каналов связи на случай возникновения нештатных ситуаций

+

начиная со 2 класса защищенности автоматизированной системы управления

Обеспечивается за счет модуля доверенной загрузки из состава комплекса «Аккорд-Х» или «Аккорд‑XL».

1. п.п. 3.14 документа «Аккорд-АМДЗ. Руководство администратора».

56 

ДНС.5

Обеспечение возможности восстановления информационной (автоматизированной) системы в случае возникновения нештатных ситуаций

+

все

 

Выполнение дополнительных (не включенных в базовый набор) мер, определенных 31-ым приказом ФСТЭК России по защите информации в автоматизированной системе управления, путем применения СПО «Аккорд‑KVM»

В таблице № 2 представлено описание выполнения дополнительных (не включенных в базовый набор) мер 31-го приказа ФСТЭК России по защите информации в автоматизированной системе управления путем применения комплекса СПО «Аккорд KVM».

Таблица 2 - Выполнение дополнительных (не включенных в базовый набор) мер по защите информации 31‑го приказа ФСТЭК России по защите информации в автоматизированной системе управления путем применения СПО «Аккорд KVM»

Усл. обозн. и номер меры

Меры защиты информации в автоматизированных системах безопасности

Классы защищенности автоматизированной системы управления

СПО «Аккорд KVM»

Ссылки на документацию

 

 

Управление доступом (УПД)

 

 

 

1

УПД.12

Управление атрибутами безопасности

 

Обеспечивается за счет применения комплекса «Аккорд-Х К».

1. п.п. 3.2.6, 3.2.7, 5.2 документа «Аккорд‑X K. Руководство администратора».

 

 

Ограничение программной среды (ОПС)

 

 

 

2

ОПС.3

Управление временными файлами

 

Обеспечивается средствами ОС Linux (с помощью специального механизма swap).

 

 

 

Обеспечение целостности (ОЦЛ)

 

 

 

3

ОЦЛ.2

Контроль целостности информации

 

Обеспечивается за счет применения комплекса «Аккорд-Х К».

1. п.п 2.1.2, 2.2, 3.2.2, 3.2.6, 3.2.8, 5.6, 5.7 документа «Аккорд-Х K. Руководство администратора».

 

 

Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

 

 

 

4

ЗИС.12

Изоляция процессов (выполнение программ) в выделенной области памяти

 

Обеспечивается средствами ОС.

 

5

ЗИС.37

Перевод информационной (автоматизированной) системы в безопасное состояние при возникновении отказов (сбоев)

 

Обеспечивается за счет модуля доверенной загрузки из состава комплекса «Аккорд-Х» или «Аккорд‑XL».

Посредством комплекса «Аккорд‑АМДЗ» возможно:

‒ резервное копирование информации в соответствии с мерой ОДТ.4;

‒ контроль безотказного функционирования технических средств ИС в соответствии с мерой ОДТ.3;

‒ обеспечение возможности восстановления информации с резервных машинных носителей информации (резервных копий) в соответствии с мерой ОДТ.5.

1. п.п. 3.14, 3.16 документа «Аккорд‑АМДЗ. Руководство администратора».

 

Итак, путем применения СПО «Аккорд‑KVM» в автоматизированной системе управления выполняются следующие меры, включенные в базовый набор мер защиты информации для соответствующего класса защищенности информационной системы:

ИАФ: 1, 2, 3, 4. 5, 7;

УПД: 1, 2, 3, 4, 5, 6, 9, 10, 11;

ОПС: 1;

ЗНИ: 2, 5, 6, 7, 8;

АУД: 2, 4, 6, 7, 8, 9;

ОЦЛ: 1, 3, 4, 5;

ОДТ: 3, 4, 5;

ЗИС: 1, 13, 21, 33, 38, 39;

ИНЦ: 1, 2;

ОПО: 4;

ДНС: 4, 5;

а также дополнительные (не включенные в базовый набор) меры:

УПД: 12;

ОПС: 3;

ОЦЛ: 2;

ЗИС: 12, 37.

 

[1] Угроза доверенной загрузки может быть признана неактуальной в случае блокирования внешних интерфейсов системного блока компьютера, извлечения CD/DVD-приводов и пр. для исключения возможности произвести загрузку недоверенной ОС со сторонних носителей информации.

Дубликатом бесценного груза
Кнопка связи