Меры приказов ФСТЭК. ПАК ЦЕНТР-Т

Таблица 1 – Выполнение базового набора мер по защите информации 17-го и 21-го приказов ФСТЭК по защите информации в информационной системе путем применения ПАК СЗИ от НСД «Центр-Т»

Таблица 2 – Выполнение дополнительных (не включенных в базовый набор) мер по защите информации 17‑го и 21‑го приказов ФСТЭК по защите информации в информационной системе путем применения ПАК СЗИ от НСД «Центр-Т»

Таблица 3 – Выполнение базового набора мер по защите информации 31-го приказа ФСТЭК по защите информации в автоматизированной системе управления путем применения ПАК СЗИ НСД «Центр-Т»

Таблица 4 – Выполнение дополнительных (не включенных в базовый набор) мер по защите информации 31-го приказа ФСТЭК по защите информации в автоматизированной системе управления путем применения ПАК СЗИ НСД «Центр-Т»

 

Выполнение базового набора мер, определенных 17‑ым и 21‑ым приказами ФСТЭК России по защите информации в информационной системе, путем применения ПАК СЗИ НСД «Центр‑Т»

В таблице № 1 представлено описание выполнения базового набора мер 17-го и 21-го приказов ФСТЭК по защите информации в информационной системе путем применения ПАК СЗИ НСД «Центр-Т».

Выражение «все» в ячейках столбца «Уровни защищенности ПДн» означает, что рассматриваемая мера должна быть реализована в информационной системе с любым уровнем защищенности персональных данных.

Выражение «все» в ячейках столбца «Классы защищенности ИС» означает, что рассматриваемая мера должна быть реализована в информационной системе с любым классом защищенности.

Выражением «нет» выделены ячейки столбца «Уровни защищенности ПДн», которые относятся к требованиям, содержащимся только в 17-ом приказе ФСТЭК, и, следовательно, не относящимся к уровням защищенности ПДн.

Выражением «нет» выделены ячейки столбца «Классы защищенности ИС», которые относятся к требованиям, содержащимся только в 21-ом приказе ФСТЭК, и, следовательно, не относящимся к классам защищенности ИС.

Таблица 1 – Выполнение базового набора мер по защите информации 17-го и 21-го приказов ФСТЭК по защите информации в информационной системе путем применения ПАК СЗИ от НСД «Центр-Т»

Усл. обозн.

Содержание мер по обеспечению безопасности персональных данных

Уровни защищенности ПДн

Классы защищенности ИС

ПАК СЗИ НСД «Центр-Т»

 

 

Идентификация и аутентификация субъектов и объектов доступа (ИАФ)

 

 

 

1            

 

ИАФ.1

Идентификация и аутентификация пользователей, являющихся работниками оператора

+

все

+

все

Комплекс поддерживает идентификацию и идентификацию пользователей и инициируемых ими процессов.

Администратор сервисного режима СХСЗ идентифицируется в СХСЗ по PIN‑коду.

Администратор Клиентского устройства, администратор ИБ клиентского устройства идентифицируются в ПО Клиента по PIN‑коду.

Администраторы удалённого управления СХСЗ предъявляют логин, пароль, идентификатор.

Пользователи клиентского устройства идентифицируются по номерам их Клиентского устройства.

2            

ИАФ.2

Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных

+

начиная со 2 уровня защищенности ПДн

+

начиная со 2 класса защищенности ИС

Комплекс поддерживает идентификацию и аутентификацию устройств (мониторов, устройств вывода и записи звука).

Параметры идентификации устройств задаются во вкладке «Периферийные устройства».

3            

ИАФ.3

Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов

+

все

+

все

Комплекс обеспечивает возможность управления идентификаторами, паролями и учетными записями пользователей.

Возможные операции: создание, удаление, редактирование, присвоение.

В случае редактирования учетных записей пользователей клиентского устройства Администраторам доступны:

  • смена ФИО и логина;
  • смена роли;
  • задание поля «Дополнительно»;
  • назначение пользователю клиентского устройства (задание серийного номера идентификатора);
  • настройка разрешения экрана (возможна после первого подключения пользователя к СХСЗ);
  • настройка параметров кэширования образа ПО РС на устройстве пользователя;
  • настройка параметра удаления событий безопасности на клиентском устройстве;
  • просмотр следующих параметров: дата и время последнего подключения, объем свободной памяти момент старта ОНЗ, настройки сети (IP-адрес клиентского устройства), интервал подключения к сервисам RMQ;
  • просмотр информации об используемом Клиентами оборудовании;
  • назначение образов и шаблонов настроек ПО РС.

4            

ИАФ.4

Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации

+

все

+

все

5            

ИАФ.5

Защита обратной связи при вводе аутентификационной информации

+

все

+

все

Функция аутентификации обеспечивает исключение отображения для пользователя действительного значения аутентификационной информации за счет отображения вводимых символов аутентификационной информации условными знаками.

6            

ИАФ.7

Идентификация и аутентификация объектов файловой системы, запускаемых и исполняемых модулей, объектов систем управления базами данных, объектов, создаваемых прикладным и специальным программным обеспечением, иных объектов доступа

нет

не входит в базовый набор мер

Обеспечивается средствами ОС, входящей в ПО СХСЗ и ПО Клиента.

 

 

Управление доступом субъектов доступа к объектам доступа (УПД)

 

 

 

7            

УПД.1

Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей

+

все

+

все

В комплексе обеспечивается поддержка учетных записей пользователей, администраторов СХСЗ, администраторов Клиентских устройств.

8            

УПД.2

Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа

+

все

+

все

Ролевой метод реализован в виде групп пользователей:

Пользователи административной группы:

  • Администратор СХСЗ;
  • Администратор нештатного режима работы СХСЗ;
  • Администратор ИБ СХСЗ;
  • Контролер СХСЗ;
  • Администратор Клиентских устройств;
  • Администратор ИБ клиентских устройств.

Пользователи клиентской группы:

  • Пользователи Клиентских устройств.

9            

УПД.4

Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы

+

все

+

все

Комплекс обеспечивает разделение полномочий: реализованы группы пользователей:

Пользователи административной группы:

  • Администратор СХСЗ;
  • Администратор нештатного режима работы СХСЗ;
  • Администратор ИБ СХСЗ;
  • Контролер СХСЗ;
  • Администратор Клиентских устройств;
  • Администратор ИБ клиентских устройств.

Пользователи клиентской группы:

  • Пользователи Клиентских устройств.

Должностные полномочия определены в рамках ролей пользователей Комплекса.

10          

УПД.5

Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы

+

все

+

все

11          

УПД.9

Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы

Не входит в базовый набор мер

+

начиная с 1 класса защищенности ИС

Комплекс позволяет определить для пользователя максимальное число одновременных подключений к терминальным серверам (терминальных сессий), которые могут быть открыты на клиентском устройстве.

Для задания указанного параметра Администратор БИ должен указать численное значение в поле «Максимальное число подключений». Значение «0», заданное по умолчанию, обозначает, что число одновременных подключений не ограничено.

12          

УПД.10

Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или  по его запросу

+

начиная с 3 уровня защищенности ПДн

+

все

Комплекс позволяет выполнить настройку блокирование сеанса доступа пользователя при неактивности – изменить таймаут гашения экрана.

Время, по истечении которого включится режим гашения экрана, можно задать в раскрывающемся списке значением из диапазона от 1 минуты до 5 часов или «Никогда» во вкладке «Сеть».

13          

УПД.11

Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации

+

начиная с 3 уровня защищенности ПДн

+

все

До проведения идентификации и аутентификации пользователям административной группы запрещены любые действия кроме ввода идентификационной и аутентификационной информации, предъявления аппаратного идентификатора, смены пользователя.

14          

УПД.13

Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные связи

+

все

+

все

Подключение к СХСЗ обеспечивается по защищённому протоколу SSH.

15          

УПД.17

Обеспечение доверенной загрузки средств вычислительной техники[1]

+

начиная со 2 уровня защищенности ПДн

+

начиная со 2 класса защищенности ИС

Комплекс обеспечивает доверенную загрузку образов ПО РС.

 

 

Ограничение программной среды (ОПС)

 

 

 

16          

ОПС.1

Управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспечения

не входит в базовый набор мер

+

начиная с 1 класса защищенности ИС

Комплекс обеспечивает возможность создания замкнутой программной среды на рабочей станции, допускающей запуск в ней только фиксированного образа ПО.

17          

ОПС.2

Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения

+

начиная со 2 уровня защищенности ПДн

+

начиная со 2 класса защищенности ИС

Комплекс обеспечивает установку и управление фиксированными наборами ПО РС.

Комплекс обеспечивает автоматизированную инсталляцию и централизованное управление шаблонами образов ПО и настроек параметров компонентов ПО РС.

Комплекс обеспечивает запуск на Клиенте только назначенного администратором СХСЗ docker‑образа ПО.

Конкретный docker-образ ПО определяет фиксированный подлежащий установке набор ПО.

18          

ОПС.3

Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов

+

начиная с 1 уровня защищенности ПДн

+

все

 

 

Защита машинных носителей персональных данных (ЗНИ)

 

 

 

19          

ЗНИ.2

Управление доступом к машинным носителям персональных данных

+

начиная со 2 уровня защищенности ПДн

+

все

В комплексе предусмотрена возможность создания образа ПО РС:

  • с возможностью проброса usb‑устройств в терминальную сессию;
  • без возможности проброса usb‑устройств в терминальную сессию.

20          

ЗНИ.5

Контроль использования интерфейсов ввода (вывода) информации на машинные носители персональных данных

не входит в базовый набор мер

+

начиная со 2 класса защищенности ИС

В комплексе предусмотрена возможность создания образа ПО РС:

  • с возможностью проброса usb‑устройств в терминальную сессию;
  • без возможности проброса usb‑устройств в терминальную сессию.

 

 

Регистрация событий безопасности (РСБ)

 

 

 

21          

РСБ.1

Определение событий безопасности, подлежащих регистрации, и сроков их хранения

+

все

+

все

Состав и содержание событий безопасности определяются для событий, которые связаны с функциональными возможностями комплекса (процедуры идентификации и аутентификации, копирование лицензий, сборка образа ПО РС, создание и редактирование учетных записей пользователей и т.д.).

При регистрации событий фиксируется исчерпывающий набор параметров: дата и время, идентификатор субъекта, идентификатор объекта, тип выполняемой операции, результат операции и др.

22          

РСБ.2

Определение состава и содержания информации о событиях безопасности, подлежащих регистрации

+

все

+

все

23          

РСБ.3

Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения

+

все

+

все

В комплексе имеется возможность регистрации возникновения событий, относящихся к событиям безопасности.

Администратор сервисного режима может просмотреть события безопасности:

  • собственной сессии;
  • контейнеров СХСЗ.

События безопасности собственной сессии Администратора сервисного режима отображаются на вкладке «Действия» в окне просмотра журналов.

События безопасности контейнеров СХСЗ распределены по вкладкам:

  • «Сервис управления» – контейнер с ПО СХСЗ;
  • «БД» – контейнер с БД;
  • «Брокер» – контейнер брокера сообщений;
  • «Репозиторий» – контейнер с образами ПО Клиента.

Для каждого события регистрируются:

  • время;
  • источник/контейнер;
  • сообщение.

Администраторы удаленного управления СХСЗ могут просматривать события безопасности:

  • собственной сессии;
  • сессий администраторов удаленного управления СХСЗ;
  • сессий пользователей клиентских устройств.

Все события фиксируются в общем журнале и отображаются на вкладке «Журнал событий».

Общий журнал хранится в БД (внутренней или внешней, в зависимости от настроек СХСЗ) и не перезаписывается при выключении или перезагрузке как СХСЗ, так и внешней СУБД.

Администратор БИ клиентского устройства может просматривать записи журнала о локальных событиях безопасности, отображающие действия администраторов и Пользователя клиентского устройства.

Для каждого события фиксируются:

  • время;
  • заголовок (основная информация о событии);
  • сообщение;
  • пользователь (учетная запись, от имени которой выполнено действие);
  • источник события.

24          

РСБ.5

Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них

+

начиная со 2 уровня защищенности ПДн

+

все

Комплекс обеспечивает просмотр зарегистрированных в журнале событий безопасности администраторам СХСЗ, проведшим процедуры И/А.

25          

РСБ.6

Генерирование временных меток и (или) синхронизация системного времени в информационной системе

Не входит в базовый набор мер

+

все

В комплексе для настройки даты и времени может использоваться внешний NTP сервер. Для его использования необходимо заполнить поле «IP-адрес» раздела «Настройки NTP сервера» и нажать кнопку <Синхронизировать>. Поле «Статус» отображает текущее состояние синхронизации.

26          

РСБ.7

Защита информации о событиях безопасности

+

все

+

все

Защита информации о событиях безопасности обеспечивается применением мер защиты информации от неправомерного доступа, уничтожения или модифицирования, и в том числе включает защиту средств ведения аудита.

Доступ к записям аудита и функциям управления механизмами регистрации (аудита) предоставляется только уполномоченным должностным лицам:

  • доступ к журналу на СХСЗ предоставляется администратору НШР;
  • доступ к общему журналу предоставляется администраторам удаленного управления;
  • доступ к локальному журналу Клиента предоставляется администратору ИБ Клиента.

 

 

Контроль (анализ) защищенности персональных данных (АНЗ)

 

 

 

27          

АНЗ.1

Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей

+

начиная с 3 уровня защищенности ПДн

+

все

Устранение уязвимостей ПАК «Центр‑Т» выполняется путем установки обновлений программного обеспечения средств защиты информации.

В ПАК «Центр-Т» предусмотрена возможность обновления ПО, в том числе ПО (firmware) носителей.

Обновление ПО выполняется в сервисном центре Разработчика ПО.

28          

АНЗ.2

Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации

+

все

+

все

Комплекс обеспечивает возможность установки обновлений программного обеспечения «Центр-Т»:

  • обновления ПО СХСЗ;
  • обновления ПО Клиента;
  • обновления firmware носителей СХСЗ и клиента.

29          

АНЗ.3

Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации

+

начиная с 3 уровня защищенности ПДн

+

все

 

Комплекс обеспечивает возможность регистрации информации о событиях, связанных с нарушением работоспособности комплекса и параметров настройки ПО и СЗИ.

В случае обнаружения нарушения работоспособности или параметров настройки имеется возможность резервного копирования баз данных и настроек СХСЗ, локальных настроек Клиента с последующим восстановлением резервных копий.

30          

АНЗ.5

Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступа, полномочий пользователей в информационной системе

+

начиная со 2 уровня защищенности ПДн

+

все

Комплекс обеспечивает возможность смены паролей администратора, администратора ИБ, администратора НШР, контролера СХСЗ.

Комплекс поддерживает возможность заведения и удаления пользователей. Данные процедуры выполняет администратор СХСЗ во вкладке «Пользователи».

Администратор СХСЗ может удалять только те учетные записи, для которых установлена роль «Пользователь клиентского устройства».

Если учетной записи присвоена роль административной группы, то при необходимости ее удаления следует сначала назначить ей роль «Пользователя клиентского устройства» (выполняется Администратором БИ или Администратором НШР) и только затем – удалить.

При попытке удалить учетные записи с ролью администратора удаленного управления СХСЗ в журнале появляется сообщение «Нельзя удалить пользователя с ролью администратора!».

 

 

Обеспечение целостности информационной системы и персональных данных (ОЦЛ)

 

 

 

31          

ОЦЛ.1

Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации

+

начиная со 2 уровня защищенности ПДн

+

начиная со 2 класса защищенности ИС

Комплекс обеспечивает возможность контроля целостности образов ПО РС.

32          

ОЦЛ.3

Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций

не входит в базовый набор мер

+

все

Комплекс обеспечивает возможность восстановления баз данных и настроек СХСЗ, локальных настроек Клиента.

 

 

Обеспечение доступности персональных данных (ОДТ)

 

 

 

33          

ОДТ.2

Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы

не входит в базовый набор мер

+

 

Комплекс обеспечивает возможность резервного копирования баз данных и настроек СХСЗ, локальных настроек Клиента.

34          

ОДТ.3

Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование

+

начиная с 1 уровня защищенности ПДн

+

начиная со 2 класса защищенности ИС

Комплекс обеспечивает фиксирование событий о неисправностях (сбоях или отказах) в функционировании ПАК «Центр-Т» в журнал событий.

 

 

Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС)

 

 

 

35          

ЗИС.1

Разделение в информационной системе функций по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты персональных данных, функций по обработке персональных данных и иных функций информационной системы

+

начиная с 1 уровня защищенности ПДн

+

начиная со 2 класса защищенности ИС

В комплексе реализована возможность разделения функциональных возможностей по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты информации (функций безопасности) и функциональных возможностей эксплуатирующего персонала по обработке информации.

В ПАК «Центр-Т» имеется поддержка ролей администратора сервисного режима СХСЗ, администратора СХСЗ, контролера, администратора НШР, администратора ИБ СХСЗ, администратора клиентских устройств, администратора ИБ клиентских устройств, администратора АРМ эмиссии, пользователей клиентских устройств.

36          

ЗИС.5

Запрет несанкционированной удаленной активации видеокамер, микрофонов и иных периферийных устройств, которые могут активироваться удаленно, и оповещение пользователей об активации таких устройств

не входит в базовый набор мер

+

все

В ПАК «Центр-Т» предусмотрена возможность контроля подключения устройств вывода и записи звука. Параметры корректируются во вкладке «Периферийные устройства».

В комплексе предусмотрена возможность контроля подключения usb‑устройств в рамках терминальной сессии. Образы ПО РС возможно создать:

  • с возможностью проброса usb‑устройств в терминальную сессию;
  • без возможности проброса usb‑устройств в терминальную сессию.

37          

ЗИС.15

Защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки персональных данных

+

начиная со 2 уровня защищенности ПДн

+

начиная со 2 класса защищенности ИС

Производится контроль целостности docker-образов (образов ПО РС).

 

 

Выявление инцидентов и реагирование на них (ИНЦ)

 

 

 

38          

ИНЦ.2

Обнаружение, идентификация и регистрация инцидентов

+

начиная со 2 уровня защищенности ПДн

нет

Комплекс поддерживает возможность хранения в журнале событий информации о неисправностях (отказах в обслуживании, сбоях в работе и т.д.).

 

 

Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ)

 

 

 

39          

УКФ.2

Управление изменениями конфигурации информационной системы и системы защиты персональных данных

+

начиная с 3 уровня защищенности ПДн

нет

Имеется возможность управления изменениями и установки только разрешенного к использованию программного обеспечения.

При создании образов ПО РС к сборке допускается только разрешенное к использованию ПО.

Возможность изменения состава образов ПО РС имеется только у администратора ИБ СХСЗ.

 

Выполнение дополнительных (не включенных в базовый набор) мер, определенных 17-ым и 21-ым приказами ФСТЭК России по защите информации в информационной системе, путем применения ПАК СЗИ НСД «Центр‑Т»

В таблице № 2 представлено описание выполнения дополнительных (не включенных в базовый набор) мер 17-го и 21-го приказов ФСТЭК по защите информации в информационной системе путем применения комплекса ПАК СЗИ НСД «Центр Т».

Выражением «нет» выделены ячейки столбца «Уровни защищенности ПДн», которые относятся к требованиям, содержащимся только в 17-ом приказе ФСТЭК, и, следовательно, не относящимся к уровням защищенности ПДн.

Таблица 2 - Выполнение дополнительных (не включенных в базовый набор) мер по защите информации 17‑го и 21‑го приказов ФСТЭК по защите информации в информационной системе путем применения ПАК СЗИ от НСД «Центр-Т»

Усл. обозн.

Содержание мер по обеспечению безопасности персональных данных

Уровни защищенности ПДн

Классы защищенности ИС

ПАК «Центр-Т»

 

 

Защита машинных носителей персональных данных (ЗНИ)

 

 

 

1

ЗНИ.6

Контроль ввода (вывода) информации на машинные носители персональных данных

 

 

В комплексе предусмотрена возможность создания образа ПО РС:

  • с возможностью проброса usb‑устройств в терминальную сессию;
  • без возможности проброса usb‑устройств в терминальную сессию.

2

ЗНИ.7

Контроль подключения машинных носителей персональных данных

 

 

 

 

Регистрация событий безопасности (РСБ)

 

 

 

3

РСБ.8

Обеспечение возможности просмотра и анализа информации о действиях отдельных пользователей в информационной системе

нет

 

Для поиска нужной информации в событиях можно использовать функцию фильтра. Поиск с применением фильтра осуществляется с учетом регистра.

Также есть возможность просмотра события за определенный период.

Доступны следующие варианты:

  • за сегодня (по умолчанию);
  • за предыдущий день;
  • за неделю;
  • за месяц;
  • за указанный (произвольный) период.

С помощью применения фильтра можно проанализировать работу каждого пользователя.

 

 

Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС)

 

 

 

4

ЗИС.4

Обеспечение доверенных канала, маршрута между администратором, пользователем и средствами защиты информации (функциями безопасности средств защиты информации)

 

 

Данная мера реализована в комплексе: в случае, если образ начальной загрузки (ПО Клиента) включает средства защиты канала передачи данных.

5

ЗИС.14

Использование устройств терминального доступа для обработки персональных данных

 

 

Комплекс поддерживает работу с решением Citrix. Подключение к терминальному серверу выполняется по протоколу ICA.

6

ЗИС.18

Обеспечение загрузки и исполнения программного обеспечения с машинных носителей персональных данных, доступных только для чтения, и контроль целостности данного программного обеспечения

 

 

Комплекс обеспечивает загрузку и исполнение программного обеспечения СХСЗ, Клиента, АРМ эмиссии со специальных носителей информации (СН, выполненные в форм-факторе USB, также СН на базе защищенного микрокомпьютера), доступных только для чтения.

7

ЗИС.19

Изоляция процессов (выполнение программ) в выделенной области памяти

 

 

Изоляция процессов в ПАК «Центр-Т» выполняется за счет использования технологии контейнеризации (docker).

 

Итак, путем применения ПАК «Центр-Т» в информационной системе выполняются следующие меры, включенные в базовый набор мер защиты информации для соответствующего класса защищенности информационной системы:

ИАФ: 1, 2, 3, 4, 5, 7;

УПД: 1, 2, 4, 5, 9, 10, 11, 13, 17;

ОПС: 1, 2, 3;

ЗНИ: 2, 5;

РСБ: 1, 2, 3, 5, 6, 7;

АНЗ: 1, 2, 3, 5;

ОЦЛ: 1, 3;

ОДТ: 2, 3;

ЗИС: 1, 5, 15;

ИНЦ: 2;

УКФ: 2.

а также дополнительные (не включенные в базовый набор) меры:

ЗНИ: 6, 7;

РСБ: 8;

ЗИС: 4, 14, 18, 19.

 

Выполнение базового набора мер, определенных 31-ым приказом ФСТЭК России по защите информации в автоматизированной системе управления, путем применения ПАК СЗИ НСД «Центр-Т»

В таблице № 3 представлено описание выполнения базового набора мер 31-го приказа ФСТЭК по защите информации в автоматизированной системе управления путем применения ПАК СЗИ НСД «Центр-Т».

Выражение «все» в ячейках столбца «Классы защищенности автоматизированной системы управления» означает, что рассматриваемая мера должна быть реализована в автоматизированной системе управления с любым классом защищенности.

Таблица 3 – Выполнение базового набора мер по защите информации 31-го приказа ФСТЭК по защите информации в автоматизированной системе управления путем применения ПАК СЗИ НСД «Центр-Т»

Усл. обозн. и номер меры

Меры защиты информации в автоматизированных системах безопасности

Классы защищенности автоматизированной системы управления

ПАК «Центр-Т»

 

 

Идентификация и аутентификация субъектов и объектов доступа (ИАФ)

 

 

1

ИАФ.0

Разработка политики идентификации и аутентификации

+

все

В комплексе разработана политика идентификации и аутентификации.

2

ИАФ.1

Идентификация и аутентификация пользователей и инициируемых ими процессов

+

все

Комплекс поддерживает идентификацию и идентификацию пользователей и инициируемых ими процессов.

Администратор сервисного режима СХСЗ идентифицируется в СХСЗ по PIN‑коду.

Администратор Клиентского устройства, администратор ИБ клиентского устройства идентифицируются в ПО Клиента по PIN‑коду.

Администраторы удалённого управления СХСЗ предъявляют логин, пароль, идентификатор.

Пользователи клиентского устройства идентифицируются по номерам их Клиентского устройства.

3

ИАФ.2

Идентификация и аутентификация устройств

+

все

Комплекс поддерживает идентификацию и аутентификацию устройств (мониторов, устройств вывода и записи звука).

Параметры идентификации устройств задаются во вкладке «Периферийные устройства».

4

ИАФ.3

Управление идентификаторами

+

все

Комплекс обеспечивает возможность управления идентификаторами, паролями и учетными записями пользователей.

Возможные операции: создание, удаление, редактирование, присвоение.

В случае редактирования учетных записей пользователей клиентского устройства Администраторам доступны:

  • смена ФИО и логина;
  • смена роли;
  • задание поля «Дополнительно»;
  • назначение пользователю клиентского устройства (задание серийного номера идентификатора);
  • настройка разрешения экрана (возможна после первого подключения пользователя к СХСЗ);
  • настройка параметров кэширования образа ПО РС на устройстве пользователя;
  • настройка параметра удаления событий безопасности на клиентском устройстве;
  • просмотр следующих параметров: дата и время последнего подключения, объем свободной памяти момент старта ОНЗ, настройки сети (IP-адрес клиентского устройства), интервал подключения к сервисам RMQ;
  • просмотр информации об используемом Клиентами оборудовании;
  • назначение образов и шаблонов настроек ПО РС.

5

ИАФ.4

Управление средствами аутентификации

+

все

8

ИАФ.7

Защита аутентификационной информации при передаче

+

все

Функция аутентификации обеспечивает исключение отображения для пользователя действительного значения аутентификационной информации за счет отображения вводимых символов аутентификационной информации условными знаками.

 

 

Управление доступом субъектов доступа к объектам доступа (УПД)

 

 

9

УПД.0

Разработка политики управления доступом

+

все

В комплексе разработана политика управления доступом.

10

УПД.1

Управление учетными записями пользователей

+

все

В комплексе обеспечивается поддержка учетных записей пользователей, администраторов СХСЗ, администраторов Клиентских устройств.

11

УПД.2

Реализация политик управления доступом

+

все

Ролевой метод реализован в виде групп пользователей:

Пользователи административной группы:

  • Администратор СХСЗ;
  • Администратор нештатного режима работы СХСЗ;
  • Администратор ИБ СХСЗ;
  • Контролер СХСЗ;
  • Администратор Клиентских устройств;
  • Администратор ИБ клиентских устройств.

Пользователи клиентской группы:

  • Пользователи Клиентских устройств.

12

УПД.3

Доверенная загрузка

+

начиная со 2 класса защищенности автоматизированной системы управления

Комплекс обеспечивает доверенную загрузку образов ПО ТС.

13

УПД.4

Разделение полномочий (ролей) пользователей

+

все

Комплекс обеспечивает разделение полномочий: реализованы группы пользователей:

Пользователи административной группы:

  • Администратор СХСЗ;
  • Администратор нештатного режима работы СХСЗ;
  • Администратор ИБ СХСЗ;
  • Контролер СХСЗ;
  • Администратор Клиентских устройств;
  • Администратор ИБ клиентских устройств.

Пользователи клиентской группы:

  • Пользователи Клиентских устройств.

Должностные полномочия определены в рамках ролей пользователей Комплекса.

14

УПД.5

Назначение минимально необходимых прав и привилегий

+

все

18

УПД.9

Ограничение числа параллельных сеансов доступа

+

в 1 классе защищенности автоматизированной системы управления

Комплекс позволяет определить для пользователя максимальное число одновременных подключений к терминальным серверам (терминальных сессий), которые могут быть открыты на клиентском устройстве.

Для задания указанного параметра Администратор БИ должен указать численное значение в поле «Максимальное число подключений». Значение «0», заданное по умолчанию, обозначает, что число одновременных подключений не ограничено.

19

УПД.10

Блокирование сеанса доступа пользователя при неактивности

+

все

Комплекс позволяет выполнить настройку блокирование сеанса доступа пользователя при неактивности – изменить таймаут гашения экрана.

Время, по истечении которого включится режим гашения экрана, можно задать в раскрывающемся списке значением из диапазона от 1 минуты до 5 часов или «Никогда» во вкладке «Сеть».

20

УПД.11

Управление действиями пользователей до идентификации и аутентификации

+

все

До проведения идентификации и аутентификации пользователям административной группы запрещены любые действия кроме ввода идентификационной и аутентификационной информации, предъявления аппаратного идентификатора, смены пользователя.

22

УПД.13

Реализация защищенного удаленного доступа

+

все

Подключение к СХСЗ обеспечивается по защищённому протоколу SSH.

 

 

Ограничение программной среды (ОПС)

 

 

24

ОПС.0

Разработка политики ограничения программной среды

+

начиная со 2 класса защищенности автоматизированной системы управления

ПАК «Центр-Т» обеспечивает возможность создания замкнутой программной среды на терминальной станции Клиента.

25

ОПС.1

Управление запуском (обращениями) компонентов программного обеспечения

+

в 1 классе защищенности автоматизированной системы управления

Комплекс обеспечивает возможность создания замкнутой программной среды на терминальной станции, допускающей запуск в ней только фиксированного образа ПО.

Комплекс обеспечивает установку и управление фиксированными наборами ПО Клиентов.

Комплекс обеспечивает автоматизированную инсталляцию и централизованное управление шаблонами образов ПО и настроек параметров компонентов ПО Клиента.

Комплекс обеспечивает запуск на Клиенте только назначенного администратором СХСЗ docker образа ПО Клиента.

Конкретный docker-образ ПО Клиента определяет фиксированный подлежащий установке набор ПО.

26

ОПС.2

Управление установкой (инсталляцией) компонентов программного обеспечения

+

начиная со 2 класса защищенности автоматизированной системы управления

 

 

Защита машинных носителей персональных данных (ЗНИ)

 

 

28

ЗНИ.0

Разработка политики защиты машинных носителей информации

+

все

В ПАК «Центр-Т» реализована возможность управления доступом к носителям информации.

30

ЗНИ.2

Управление физическим доступом к машинным носителям информации

+

все

В комплексе предусмотрена возможность создания образа ПО ТС:

  • с возможностью проброса usb‑устройств в терминальную сессию;
  • без возможности проброса usb‑устройств в терминальную сессию.

33

ЗНИ.5

Контроль использования интерфейсов ввода (вывода) информации на машинные носители информации

+

все

В комплексе предусмотрена возможность создания образа ПО ТС:

  • с возможностью проброса usb‑устройств в терминальную сессию;
  • без возможности проброса usb‑устройств в терминальную сессию.

34

ЗНИ.6

Контроль ввода (вывода) информации на машинные носители информации

+

в 1 классе защищенности автоматизированной системы управления

35

ЗНИ.7

Контроль подключения машинных носителей информации

+

все

 

 

Аудит безопасности (АУД)

 

 

37

АУД.0

Разработка политики аудита безопасности

+

все

Комплекс поддерживает политику аудита безопасности.

40

АУД.3

Генерирование временных меток и (или) синхронизация системного времени

+

все

В комплексе для настройки даты и времени может использоваться внешний NTP сервер. Для его использования необходимо заполнить поле «IP-адрес» раздела «Настройки NTP сервера» и нажать кнопку <Синхронизировать>. Поле «Статус» отображает текущее состояние синхронизации.

41

АУД.4

Регистрация событий безопасности

+

все

В комплексе имеется возможность регистрации возникновения событий, относящихся к событиям безопасности.

Администратор сервисного режима может просмотреть события безопасности:

  • собственной сессии;
  • контейнеров СХСЗ.

События безопасности собственной сессии Администратора сервисного режима отображаются на вкладке «Действия» в окне просмотра журналов.

События безопасности контейнеров СХСЗ распределены по вкладкам:

  • «Сервис управления» – контейнер с ПО СХСЗ;
  • «БД» – контейнер с БД;
  • «Брокер» – контейнер брокера сообщений;
  • «Репозиторий» – контейнер с образами ПО Клиента.

Для каждого события регистрируются:

  • время;
  • источник/контейнер;
  • сообщение.

Администраторы удаленного управления СХСЗ могут просматривать события безопасности:

  • собственной сессии;
  • сессий администраторов удаленного управления СХСЗ;
  • сессий пользователей клиентских устройств.

Все события фиксируются в общем журнале и отображаются на вкладке «Журнал событий».

Общий журнал хранится в БД (внутренней или внешней, в зависимости от настроек СХСЗ) и не перезаписывается при выключении или перезагрузке как СХСЗ, так и внешней СУБД.

Администратор БИ клиентского устройства может просматривать записи журнала о локальных событиях безопасности, отображающие действия администраторов и Пользователя клиентского устройства.

Для каждого события фиксируются:

  • время;
  • заголовок (основная информация о событии);
  • сообщение;
  • пользователь (учетная запись, от имени которой выполнено действие);
  • источник события.

43

АУД.6

Защита информации о событиях безопасности

+

все

Защита информации о событиях безопасности обеспечивается применением мер защиты информации от неправомерного доступа, уничтожения или модифицирования, и в том числе включает защиту средств ведения аудита.

Доступ к записям аудита и функциям управления механизмами регистрации (аудита) предоставляется только уполномоченным должностным лицам:

  • доступ к журналу на СХСЗ предоставляется администратору сервисного режима СХСЗ;
  • доступ к общему журналу предоставляется администраторам удаленного управления;
  • доступ к локальному журналу Клиента предоставляется администратору ИБ Клиента.

44

АУД.7

Мониторинг безопасности

+

все

Комплекс обеспечивает просмотр зарегистрированных в журнале событий безопасности администраторам СХСЗ, проведшим процедуры И/А.

46

АУД.9

Анализ действий пользователей

+

в 1 классе защищенности автоматизированной системы управления

Для поиска нужной информации в событиях можно использовать функцию фильтра. Поиск с применением фильтра осуществляется с учетом регистра.

Также есть возможность просмотра события за определенный период.

Доступны следующие варианты:

  • за сегодня (по умолчанию);
  • за предыдущий день;
  • за неделю;
  • за месяц;
  • за указанный (произвольный) период.

С помощью применения фильтра можно проанализировать работу каждого пользователя.

 

 

Обеспечение целостности (ОЦЛ)

 

 

58

ОЦЛ.0

Разработка политики обеспечения целостности

+

все

Комплекс обеспечивает возможность контроля целостности образов ПО ТС.

59

ОЦЛ.1

Контроль целостности программного обеспечения

+

все

 

 

Обеспечение доступности (ОДТ)

 

 

65

ОДТ.0

Разработка политики обеспечения доступности

+

все

Комплекс обеспечивает возможность резервного копирования баз данных и настроек СХСЗ, локальных настроек Клиента.

67

ОДТ.2

Резервирование средств и систем

+

начиная со 2 класса защищенности автоматизированной системы управления

68

ОДТ.3

Контроль безотказного функционирования средств и систем

+

начиная со 2 класса защищенности автоматизированной системы управления

Комплекс обеспечивает фиксирование событий о неисправностях (сбоях или отказах) в функционировании ПАК «Центр-Т» в журнал событий.

71

ОДТ.6

Обеспечение возможности восстановления программного обеспечения при нештатных ситуациях

+

все

Комплекс обеспечивает возможность восстановления баз данных и настроек СХСЗ, локальных настроек Клиента из резервных копий.

 

 

Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

 

 

81

ЗИС.0

Разработка политики защиты информационной (автоматизированной) системы и ее компонентов

+

все

Комплекс поддерживает политику защиты информационной (автоматизированной) системы и ее компонентов.

82

ЗИС.1

Разделение функций по управлению (администрированию) информационной (автоматизированной) системой с иными функциями

+

все

В комплексе реализована возможность разделения функциональных возможностей по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты информации (функций безопасности) и функциональных возможностей эксплуатирующего персонала по обработке информации.

В ПАК «Центр-Т» имеется поддержка ролей администратора сервисного режима СХСЗ, администратора СХСЗ, контролера, администратора НШР, администратора ИБ СХСЗ, администратора клиентских устройств, администратора ИБ клиентских устройств, администратора АРМ эмиссии, пользователей клиентских устройств.

94

ЗИС.13

Защита неизменяемых данных

+

начиная со 2 класса защищенности автоматизированной системы управления

Производится контроль целостности docker-образов (образов ПО ТС).

101

ЗИС.20

Обеспечение доверенных канала, маршрута

+

все

Данная мера реализована в комплексе: в случае, если образ начальной загрузки (ПО Клиента) включает средства защиты канала передачи данных.

102

ЗИС.21

Запрет несанкционированной удаленной активации периферийных устройств

+

все

В ПАК «Центр-Т» предусмотрена возможность контроля подключения устройств вывода и записи звука. Параметры корректируются во вкладке «Периферийные устройства».

В комплексе предусмотрена возможность контроля подключения usb‑устройств в рамках терминальной сессии. Образы ПО ТС возможно создать:

  • с возможностью проброса usb‑устройств в терминальную сессию;
  • без возможности проброса usb‑устройств в терминальную сессию.

116

ЗИС.35

Управление сетевыми соединениями

+

начиная со 2 класса защищенности автоматизированной системы управления

Имеется возможность настройки сетевого соединения по протоколу ICA в части настройки адресов брокера Citrix.

Также комплекс поддерживает возможность настройки адреса сервера службы AD, адреса сервера stunnel в сети, прокси‑сервера (в случае поддержки в образе ПО ТС возможности работы со СКАД «Сигнатура‑L»).

 

 

Реагирование на компьютерные инциденты (ИНЦ)

 

 

121

ИНЦ.0

Разработка политики реагирования на компьютерные инциденты

+

все

Комплекс поддерживает возможность хранения в журнале событий информации о неисправностях (отказах в обслуживании, сбоях в работе и т.д.).

122

ИНЦ.2

Информирование о компьютерных инцидентах

+

все

 

 

Управление конфигурацией (УКФ)

 

 

128

УКФ.0

Разработка политики управления конфигурацией информационной (автоматизированной) системы

+

все

Имеется возможность управления изменениями и установки только разрешенного к использованию программного обеспечения.

При создании образов ПО ТС к сборке допускается только разрешенное к использованию ПО.

Возможность изменения состава образов ПО ТС имеется только у администратора ИБ СХСЗ.

130

УКФ.2

Управление изменениями

+

все

 

 

Управление обновлениями программного обеспечения (ОПО)

 

 

133

ОПО.0

Разработка политики управления обновлениями программного обеспечения

+

все

Комплекс обеспечивает возможность установки обновлений программного обеспечения «Центр-Т»:

  • обновления ПО СХСЗ;
  • обновления ПО Клиента;
  • обновления firmware носителей СХСЗ и клиента.
  • Обновления ПО и firmware носителей выполняются в сервисном центре Разработчика.

137

ОПО.4

Установка обновлений программного обеспечения

+

все

 

 

Обеспечение действий в нештатных ситуациях (ДНС)

 

 

141

ДНС.0

Разработка политики обеспечения действий в нештатных ситуациях

+

все

«Центр-Т» обеспечивает резервное копирование и восстановление баз данных и настроек.

145

ДНС.4

Резервирование программного обеспечения, технических средств, каналов связи на случай возникновения нештатных ситуаций

+

начиная со 2 класса защищенности автоматизированной системы управления

Комплекс обеспечивает возможность резервного копирования баз данных и настроек СХСЗ, локальных настроек Клиента

146

ДНС.5

Обеспечение возможности восстановления информационной (автоматизированной) системы в случае возникновения нештатных ситуаций

+

все

Комплекс обеспечивает возможность восстановления баз данных и настроек СХСЗ, локальных настроек Клиента из резервных копий.

 

Выполнение дополнительных (не включенных в базовый набор) мер, определенных 31-ым приказом ФСТЭК России по защите информации в автоматизированной системе управления, путем применения ПАК СЗИ НСД «Центр‑Т»

В таблице № 4 представлено описание выполнения дополнительных (не включенных в базовый набор) мер 31-го приказа ФСТЭК по защите информации в автоматизированной системе управления путем применения ПАК СЗИ НСД «Центр‑Т».

Таблица 4- Выполнение дополнительных (не включенных в базовый набор) мер по защите информации 31-го приказа ФСТЭК по защите информации в автоматизированной системе управления путем применения ПАК СЗИ НСД «Центр-Т»

Усл. обозн. и номер меры

Меры защиты информации в автоматизированных системах безопасности

Классы защищенности автоматизированной системы управления

ПАК «Центр-Т»

 

 

Идентификация и аутентификация субъектов и объектов доступа (ИАФ)

 

 

1

ИАФ.6

Двусторонняя аутентификация

 

Комплекс поддерживает функцию двусторонней аутентификации:

При соединении с сервером Клиент аутентифицируется на СХСЗ.

Аутентификация СХСЗ на клиенте выполняется при передаче образа ПО РС.

 

 

Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

 

 

2

ЗИС.12

Изоляция процессов (выполнение программ) в выделенной области памяти

 

Изоляция процессов в ПАК «Центр-Т» выполняется за счет использования технологии контейнеризации (docker).

3

ЗИС.14

Использование неперезаписываемых машинных носителей информации

 

Образ начальной загрузки (предварительно подготовленные образы ОС, содержащие необходимое ПО для соединения с терминальным сервером) СХСЗ и Клиентов располагается на неперезаписываемых носителях ПО СХСЗ и ПО Клиента соответственно.

4

ЗИС.30

Использование устройств терминального доступа

 

Комплекс поддерживает работу с решением Citrix. Подключение к терминальному серверу выполняется по протоколу ICA.

 

Итак, путем применения ПАК «Центр-Т» в автоматизированной системе управления выполняются следующие меры, включенные в базовый набор мер защиты информации для соответствующего класса защищенности информационной системы:

ИАФ: 1, 2, 3, 4, 7;

УПД: 1, 2, 3, 4, 5, 9, 10, 11, 13;

ОПС: 1, 2;

ЗНИ: 2, 5, 6, 7;

АУД: 3, 4, 6, 7, 9;

ОЦЛ: 1;

ОДТ: 2, 3, 6;

ЗИС: 1, 13, 20, 21, 35;

ИНЦ: 2;

УКФ: 2;

ОПО: 4;

ДНС; 4, 5;

а также дополнительные (не включенные в базовый набор) меры:

ИАФ: 6;

ЗИС: 12, 14, 30.

[1] Угроза доверенной загрузки может быть признана неактуальной в случае блокирования внешних интерфейсов системного блока компьютера, извлечения CD/DVD-приводов и пр. для исключения возможности произвести загрузку недоверенной ОС со сторонних носителей информации.

Дубликатом бесценного груза
Кнопка связи