Методический документ меры защиты информации в государственных информационных системах
|
Скачать 2.57 Mb.
|
|
АНЗ.2 КОНТРОЛЬ УСТАНОВКИ ОБНОВЛЕНИЙ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, ВКЛЮЧАЯ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ Требования к реализации АНЗ.2: Оператором должен осуществляться контроль установки обновлений программного обеспечения, включая программное обеспечение средств защиты информации и программное обеспечение базовой системы ввода-вывода. Оператором должно осуществляться получение из доверенных источников и установка обновлений программного обеспечения, включая программное обеспечение средств защиты информации и программное обеспечение базовой системы ввода-вывода. При контроле установки обновлений осуществляются проверки соответствия версий общесистемного, прикладного и специального программного (микропрограммного) обеспечения, включая программное обеспечение средств защиты информации, установленного в информационной системе и выпущенного разработчиком, а также наличие отметок в эксплуатационной документации (формуляр или паспорт) об установке (применении) обновлений. Контроль установки обновлений проводится с периодичностью, установленной оператором в организационно-распорядительных документах по защите информации и фиксируется в соответствующих журналах. При контроле установки обновлений осуществляются проверки установки обновлений баз данных признаков вредоносных компьютерных программ (вирусов) средств антивирусной защиты в соответствии с АВЗ.2, баз решающих правил систем обнаружения вторжений в соответствии с СОВ.2, баз признаков уязвимостей средств анализа защищенности и иных баз данных, необходимых для реализации функций безопасности средств защиты информации. Правила и процедуры контроля установки обновлений программного обеспечения регламентируются в организационно-распорядительных документах оператора по защите информации. Требования к усилению АНЗ.2: 1) оператором должна осуществляться проверка корректности функционирования обновлений в тестовой среде с обязательным оформлением результатов проверки в соответствующем журнале; 2) оператором обеспечивается регламентация и контроль обновлений программного обеспечения базовой системы ввода-вывода (иного микропрограммного обеспечения). Содержание базовой меры АНЗ.2:
АНЗ.3 КОНТРОЛЬ РАБОТОСПОСОБНОСТИ, ПАРАМЕТРОВ НАСТРОЙКИ И ПРАВИЛЬНОСТИ ФУНКЦИОНИРОВАНИЯ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ И СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ Требования к реализации АНЗ.3: Оператором должен проводиться контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации. При контроле работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации осуществляется: контроль работоспособности (неотключения) программного обеспечения и средств защиты информации; проверка правильности функционирования (тестирование на тестовых данных, приводящих к известному результату) программного обеспечения и средств защиты информации, объем и содержание которой определяется оператором; контроль соответствия настроек программного обеспечения и средств защиты информации параметрам настройки, приведенным в эксплуатационной документации на систему защиты информации и средства защиты информации; восстановление работоспособности (правильности функционирования) и параметров настройки программного обеспечения и средств защиты информации (при необходимости), в том числе с использованием резервных копий и (или) дистрибутивов. Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации проводится с периодичностью, установленной оператором в организационно-распорядительных документах по защите информации. Требования к усилению АНЗ.3: 1) в информационной системе должны обеспечиваться регистрация событий и оповещение (сигнализация, индикация) администратора безопасности о событиях, связанных с нарушением работоспособности (правильности функционирования) и параметров настройки программного обеспечения и средств защиты информации; 2) оператором в случае обнаружения нарушений работоспособности (правильности функционирования) и параметров настройки программного обеспечения и средств защиты информации должен обеспечиваться перевод информационной системы, сегмента или компонента информационной системы в режим ограничения обработки информации и (или) запрет обработки информации в информационной системе, сегменте или компоненте информационной системы до устранения нарушений; 3) оператором должны использоваться автоматизированные средства, обеспечивающие инвентаризацию параметров настройки программного обеспечения и средств защиты информации и восстановление параметров настройки программного обеспечения и средств защиты информации; 4) в информационной системе должно использоваться программное обеспечение, прошедшее контроль отсутствия недекларированных возможностей и отсутствия влияния на корректность работы средств защиты информации. Содержание базовой меры АНЗ.3:
АНЗ.4 КОНТРОЛЬ СОСТАВА ТЕХНИЧЕСКИХ СРЕДСТВ, ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ И СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ Требования к реализации АНЗ.4: Оператором должен проводиться контроль состава технических средств, программного обеспечения и средств защиты информации, применяемых в информационной системе (инвентаризация). При контроле состава технических средств, программного обеспечения и средств защиты информации осуществляется: контроль соответствия состава технических средств, программного обеспечения и средств защиты информации приведенному в эксплуатационной документации с целью поддержания актуальной (установленной в соответствии с эксплуатационной документацией) конфигурации информационной системы и принятие мер, направленных на устранение выявленных недостатков; контроль состава технических средств, программного обеспечения и средств защиты информации на соответствие сведениям действующей (актуализированной) эксплуатационной документации и принятие мер, направленных на устранение выявленных недостатков; контроль выполнения условий и сроков действия сертификатов соответствия на средства защиты информации и принятие мер, направленных на устранение выявленных недостатков; исключение (восстановление) из состава информационной системы несанкционированно установленных (удаленных) технических средств, программного обеспечения и средств защиты информации. Контроль состава технических средств, программного обеспечения и средств защиты информации проводится с периодичностью, установленной оператором в организационно-распорядительных документах по защите информации. Требования к усилению АНЗ.4: 1) в информационной системе должна обеспечиваться регистрация событий безопасности, связанных с изменением состава технических средств, программного обеспечения и средств защиты информации; 2) оператором должны использоваться автоматизированные средства, обеспечивающие инвентаризацию технических средств, программного обеспечения и средств защиты информации. Содержание базовой меры АНЗ.4:
АНЗ.5 КОНТРОЛЬ ПРАВИЛ ГЕНЕРАЦИИ И СМЕНЫ ПАРОЛЕЙ ПОЛЬЗОВАТЕЛЕЙ, ЗАВЕДЕНИЯ И УДАЛЕНИЯ УЧЕТНЫХ ЗАПИСЕЙ ПОЛЬЗОВАТЕЛЕЙ, РЕАЛИЗАЦИИ ПРАВИЛ РАЗГРАНИЧЕНИЯ ДОСТУПОМ, ПОЛНОМОЧИЙ ПОЛЬЗОВАТЕЛЕЙ В ИНФОРМАЦИОННОЙ СИСТЕМЕ Требования к реализации АНЗ.5: Оператором должен проводиться контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе. При контроле правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе осуществляется: контроль правил генерации и смены паролей пользователей в соответствии с ИАФ.1 и ИАФ.4; контроль заведения и удаления учетных записей пользователей в соответствии с УПД.1; контроль реализации правил разграничения доступом в соответствии с УПД.2; контроль реализации полномочий пользователей в соответствии с УПД.4 и УПД.5; контроль наличия документов, подтверждающих разрешение изменений учетных записей пользователей, их параметров, правил разграничения доступом и полномочий пользователей, предусмотренных организационно-распорядительными документами по защите информации оператора; устранение нарушений, связанных с генерацией и сменой паролей пользователей, заведением и удалением учетных записей пользователей, реализацией правил разграничения доступом, установлением полномочий пользователей. Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе проводится с периодичностью, установленной оператором в организационно-распорядительных документах по защите информации. Требования к усилению АНЗ.5: 1) в информационной системе должна обеспечиваться регистрация событий, связанных со сменой паролей пользователей, заведением и удалением учетных записей пользователей, изменением правил разграничения доступом и полномочий пользователей; 2) оператором должны использоваться автоматизированные средства, обеспечивающие контроль правил генерации и смены паролей пользователей, учетных записей пользователей, правил разграничения доступом и полномочий пользователей. Содержание базовой меры АНЗ.5:
3.9. ОБЕСПЕЧЕНИЕ ЦЕЛОСТНОСТИ ИНФОРМАЦИОННОЙ СИСТЕМЫ И ИНФОРМАЦИИ (ОЦЛ) ОЦЛ.1 КОНТРОЛЬ ЦЕЛОСТНОСТИ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, ВКЛЮЧАЯ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ Требования к реализации ОЦЛ.1: В информационной системе должен осуществляться контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации. Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации, должен предусматривать: контроль целостности программного обеспечения средств защиты информации, включая их обновления, по наличию имен (идентификаторов) и (или) по контрольным суммам компонентов средств защиты информации в процессе загрузки и (или) динамически в процессе работы информационной системы; контроль целостности компонентов программного обеспечения (за исключением средств защиты информации), определяемого оператором исходя из возможности реализации угроз безопасности информации, по наличию имен (идентификаторов) компонентов программного обеспечения и (или) по контрольным суммам в процессе загрузки и (или) динамически в процессе работы информационной системы; контроль применения средств разработки и отладки программ в составе программного обеспечения информационной системы; тестирование с периодичностью, установленной оператором, функций безопасности средств защиты информации, в том числе с помощью тест-программ, имитирующих попытки несанкционированного доступа, и (или) специальных программных средств, в соответствии с АНЗ.1 и АНЗ.2; обеспечение физической защиты технических средств информационной системы в соответствии с ЗТС.2 и ЗТС.3. В случае если функциональные возможности информационной системы должны предусматривать применение в составе ее программного обеспечения средств разработки и отладки программ, оператором обеспечивается выполнение процедур контроля целостности программного обеспечения после завершения каждого процесса функционирования средств разработки и отладки программ. Правила и процедуры контроля целостности программного обеспечения регламентируются в организационно-распорядительных документах оператора по защите информации. Требования к усилению ОЦЛ.1: 1) в информационной системе контроль целостности средств защиты информации должен осуществляться по контрольным суммам всех компонентов средств защиты информации, как в процессе загрузки, так и динамически в процессе работы системы; 2) в информационной системе должен обеспечиваться контроль целостности средств защиты информации с использованием криптографических методов в соответствии с законодательством Российской Федерации, всех компонентов средств защиты информации, как в процессе загрузки, так и динамически в процессе работы системы; 3) оператором исключается возможность использования средств разработки и отладки программ во время обработки и (или) хранения информации в целях обеспечения целостности программной среды; |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Похожие:
 |
Методические рекомендации по обеспечению информационной безопасности... По обеспечению информационной безопасности в государственных информационных системах и защиты персональных данных в государственных... |
|
Инструкция по организации антивирусной защиты информационных систем... «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных... |
|
Инструкция по регистрации в Единой системе идентификации и аутентификации (есиа) Есиа – это информационная система в Российской Федерации, обеспечивающая санкционированный доступ граждан-заявителей и должностных... |
 |
Инструкция по регистрации в Единой системе идентификации и аутентификации (есиа) Есиа – это информационная система в Российской Федерации, обеспечивающая санкционированный доступ граждан-заявителей и должностных... |
|
Единая система идентификации и аутентификации Единая система идентификации... Российской Федерации, обеспечивающая санкционированный доступ участников информационного взаимодействия (граждан-заявителей и должностных... |
|
Анализ состояния защиты данных в информационных системах Д 999 Анализ состояния защиты данных в информационных системах: учеб пособие / В. В. Денисов. – Новосибирск: Изд-во нгту, 2012. –... |
|
Инструкция по применению антивирусной защиты информации в Администрации... Во исполнение требований Федерального закона РФ №149-фз от 27. 07. 2006 г. «Об информации, информационных технологиях и о защите... |
|
Техническое задание на оказание услуг по актуализации существующей... Оао «Тольяттинская энергосбытовая компания», поставке оборудования, носителей информации с дистрибутивами по, ключей технической... |
|
Инструкция по обеспечению информационной безопасности при создании... Владивостока (далее – Инструкция) разработана в соответствии с требованиями Федерального закона от 27. 07. 2006 №149-фз «Об информации,... |
|
«защита информации от несанкционированного доступа» Фз о защите информации, который рассматривает проблемы защиты информации и задачи защиты информации, а также решает некоторые уникальные... |
|
Теория информационной безопасности и методология защиты информации 5 Российской Федерации. В чем заключается сущность защиты информации, ее место в системе информационной безопасности, информация как... |
|
Выписка из перечня средств защиты информации, сертифицированных фсб россии «Программно-аппаратный комплекс защиты объектов информационных технологий от разведки пэми «лгш-504» |
|
Выписка из перечня средств защиты информации, сертифицированных фсб россии «Программно-аппаратный комплекс защиты объектов информационных технологий от разведки пэми «лгш-504» |
|
Инструкция по работе в информационной системе Реестр государственных... Приложению 1 Инструкции в Комитет компьютерных технологий. Заявителя регистрируют в программе «Реестр государственных информационных... |
|
Учебно-методический комплекс дисциплины обсужден на заседании кафедры... Защита информационных процессов в компьютерных системах 090104. 65 – Комплексная защита объектов информатизации Форма подготовки... |
|
Обработки персональных данных и реализуемых требованиях к защите персональных данных Целью настоящей Политики является обеспечение безопасности объектов защиты оператора в информационных системах от всех видов угроз,... |