Общие рекомендации по выполнению требований по реализации мер из приказа ФСТЭК России №239 от 25.12.2017 с примерами применения отдельных средств защиты (по информации от их производителей).

Раздел в стадии наполнения. По любым вопросам, предложениям и дополнениям можно обращаться через комментарии или лично.


Меры обеспечения безопасности значимого объекта

Установлены Приказом ФСТЭК России №239 от 25.12.2017 «Об утверждении Требований по обеспечению безопасности значимых объектов КИИ РФ».

Действующая на момент актуализации редакция:

I. Идентификация и аутентификация (ИАФ)

Наверх

ИАФ.0 Регламентация правил и процедур идентификации и аутентификации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Процедурное

Способ реализации: Организационные мероприятия -  разработка правил и процедур (политик) идентификации и аутентификации субъектов доступа и объектов доступа. Реализуется путём выполнения положений внутренних документов.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ИАФ.0 Разработка политики идентификации и аутентификации

Наверх

Обратно к I. Идентификация и аутентификация (ИАФ)

ИАФ.1 Идентификация и аутентификация пользователей и инициируемых ими процессов

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Встроенные механизмы обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п. в части идентификации и аутентификации пользователей, являющихся работниками/сотрудниками субъекта КИИ.
  • возможные: СЗИ от НСД, система мониторинга

Возможности некоторых продуктов:

  • CL DATAPK - В части доступа к DATAPK, также может быть использован для автоматизированного контроля реализации требования.
  • Secret Net Studio 8.5 - Возможность входа пользователей в систему, как по логину/паролю, так и с использованием аппаратных средств усиленной аутентификации. Стандартная аутентификация, усиленная аутентификация по ключу, усиленная аутентификация по паролю
  • Secret Net Studio - C 8.5 - Возможность входа пользователей в систему, как по логину/паролю, так и с использованием аппаратных средств усиленной аутентификации. Стандартная аутентификация, усиленная аутентификация по ключу, усиленная аутентификация по паролю
  • Secret Net LSP 1.9 - Возможность входа пользователей в систему, как по логину/паролю, так и с использованием аппаратных средств усиленной аутентификации. Стандартная аутентификация, усиленная аутентификация по ключу, усиленная аутентификация по паролю
  • ПАК “Соболь” 3.0.9 (M2) - Идентификация и усиленная (двухфакторная) аутентификация пользователей с использованием персональных идентификаторов.
  • Соболь 4.2 - Идентификация и усиленная (двухфакторная) аутентификация пользователей с использованием персональных идентификаторов.
  • АПКШ Континент 3.7 - Аутентификация пользователей через “клиента аутентификации пользователя”.
  • Континент-АП + Сервер доступа 3.7 - Аутентификация на асимметричных ключах. Аутентификация до WinLogona.
  • vGate 4.0 - Идентификация/аутентификация пользователей, поддержка электронных идентификаторов.
  • InfoWatch Endpoint Security - Разграничение прав доступа пользователей к файлам
  • InfoWatch Person Monitor - Контроль инициируемых пользователями процессов
  • InfoWatch Traffic Monitor - Ограничение возможности использования устройств (модуль Device Monitor)
  • InfoWatch ARMA Industrial Firewall - Использование портала авторизации, идентификации устройств по IP-
и MAC-адресам

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — ИАФ.1 Идентификация и аутентификация пользователей, являющихся работниками оператора

  • Приказ 21 — ИАФ.1 Идентификация и аутентификация пользователей, являющихся работниками оператора

  • Приказ 31 — ИАФ.1 Идентификация и аутентификация пользователей и инициируемых ими процессов

Наверх

Обратно к I. Идентификация и аутентификация (ИАФ)

ИАФ.2 Идентификация и аутентификация устройств

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Встроенные механизмы обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: СЗИ от НСД, система мониторинга, межсетевой экран

Возможности некоторых продуктов:

  • CL DATAPK - Идентификация устройств подключенных к сети:
    1. Обнаружение объектов защиты в режиме пассивного мониторинга трафика. Автоматическое назначение уникальных идентификаторов объектам защиты, определение сетевых параметров, полученных в режиме пассивного мониторинга – MAC-адреса и IP-адреса (при наличии). Автоматическое назначение новым объектам защиты наименования «Неизвестный объект защиты».
    2. Указание дополнительных идентификаторов для объектов защиты пользователем: наименования, типа объекта защиты. Возможность указания принадлежности к группам и присвоение меток. Идентификация устройств подключенных к объектам защиты включает в себя периодическое (заданное по расписанию) получение с объекта защиты информации о подключенных к нему устройствах и их уникальных идентификаторов с использованием активного сбора данных.
  • Secret Net Studio 8.5 - Идентификация компьютеров, съемных машинных носителей информации
  • Secret Net Studio - C 8.5 - Идентификация компьютеров, съемных машинных носителей информации
  • Secret Net LSP 1.9 - Идентификация съемных машинных носителей информации, компьютеров в совместном режиме с SNS

  • АПКШ Континент 3.7 - Криптографические метки: ID КШ, наличие ключа
  • Континент-АП + Сервер доступа 3.7 - Континент-АП аутентифицируется на конкретном устройсте - сервере доступа (использование сертификата СД).
  • vGate 4.0 - Аутентификация ESXi, vCenter, Hyper-V внешних серверов и АРМов
  • InfoWatch Endpoint Security - Ограничение возможности использования устройств

  • InfoWatch ARMA Industrial Firewall - В случае использования портала авторизации для внешних
по отношению к АСУ пользователей возможно управление идентификаторами

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — ИАФ.2 Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных

  • Приказ 21 — ИАФ.2 Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных

  • Приказ 31 — ИАФ.2 Идентификация и аутентификация устройств

Наверх

Обратно к I. Идентификация и аутентификация (ИАФ)

ИАФ.3 Управление идентификаторами

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Встроенные механизмы обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п. — управление идентификаторами пользователей или служебными идентификаторами субъектов доступа (процессов, устройств).
  • возможные: СЗИ от НСД, системы управления учётными данными и доступом (IAM), межсетевые экраны (МЭ, FW)

Возможности некоторых продуктов:

  • CL DATAPK - DATAPK позволяет создавать, присваивать, изменять или уничтожать идентификаторы рабочих мест, серверов, программируемых логических контроллеров и другим узлам сети АСУ ТП, обнаруженным в ходе инвентаризации.
  • Secret Net Studio 8.5 - Управление учетными записями, присвоение аппаратных средств аутентификации
  • Secret Net Studio - C 8.5 - Управление учетными записями, присвоение аппаратных средств аутентификации
  • Secret Net LSP 1.9 - Управление учетными записями, присвоение аппаратных средств аутентификации
  • ПАК “Соболь” 3.0.9 (M2) - Администратор управляет идентификаторами. Реализовано присвоение идентификатора пользователю, удаление идентификатора у пользователя, форматирование идентификаторов.
  • Соболь 4.2 - Администратор управляет идентификаторами. Реализовано присвоение идентификатора пользователю, удаление идентификатора у пользователя, форматирование идентификаторов.
  • АПКШ Континент 3.7 - ЦУС - управление КШ (создание КШ, удаление КШ, присвоение ID)
  • Континент-АП + Сервер доступа 3.7 - Управление учетными записями на СД. Идентификатор-имя учетной записи.
  • vGate 4.0 - Управление пользователями и электронными идентификаторами (eToken PRO, eToken PRO Java (USB, смарт-карта), JaCarta).

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — ИАФ.3 Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов

  • Приказ 21 — ИАФ.3 Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов

  • Приказ 31 — ИАФ.3 Управление идентификаторами

Наверх

Обратно к I. Идентификация и аутентификация (ИАФ)

ИАФ.4 Управление средствами аутентификации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Управление средствами аутентификации осуществляется с помощью встроенных механизмов обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: Службы каталога, системы управления жизненным циклом сертификатов открытого ключа, СЗИ от НСД

Возможности некоторых продуктов:

  • CL DATAPK - Реализовано в части доступа к DATAPK.
  • Secret Net Studio 8.5 - Управление паролями, назначение аппаратных средств аутентификации. Интеграция с JaCarta Management System. Есть утилита генерации случайных паролей - с использованием ДСЧ ПАК “Соболь”
  • Secret Net Studio - C 8.5 - Управление паролями, назначение аппаратных средств аутентификации. Интеграция с JaCarta Management System. Есть утилита генерации случайных паролей - с использованием ДСЧ ПАК “Соболь”
  • Secret Net LSP 1.9 - Управление паролями, назначение аппаратных средств аутентификации. Есть утилита генерации случайных паролей - с использованием ДСЧ ПАК “Соболь”
  • ПАК “Соболь” 3.0.9 (M2) - 1) Кроме идентификатора при аутентификации в Соболе используется специальный ключ (аутентификатор) и пароль. 2) Реализован генератор пароля при регистрации и смене пароля Администратора/пользователя. 3) Реализована проверка стойкости пароля 4) Есть возможность смены ключа и пароля. Реализован режим их устаревания.
  • Соболь 4.2 - 1) Кроме идентификатора при аутентификации в Соболе используется специальный ключ (аутентификатор) и пароль. 2) Реализован генератор пароля при регистрации и смене пароля Администратора/пользователя. 3) Реализована проверка стойкости пароля 4) Есть возможность смены ключа и пароля. Реализован режим их устаревания.
  • АПКШ Континент 3.7 - АРМ ГК-работа с носителями и ключами ЦУС- криптографическая аутентификация КШ
  • Континент-АП + Сервер доступа 3.7 - Работа с ключами, сертификат и закрытый ключ отзыв сертификата.
  • vGate 4.0 - В рамках поддержки электронных идентификаторов.

  • InfoWatch Traffic Monitor - Поддержка протоколов LDAP/OpenLDAP
  • InfoWatch ARMA Industrial Firewall - Может применятся

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — ИАФ.4 Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации

  • Приказ 21 — ИАФ.4 Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации

  • Приказ 31 — ИАФ.4 Управление средствами аутентификации

Наверх

Обратно к I. Идентификация и аутентификация (ИАФ)

ИАФ.5 Идентификация и аутентификация внешних пользователей

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: Системы управления учётными данными и доступом (IAM)

Возможности некоторых продуктов:

  • CL DATAPK - В случае, если реализация требования зависит от настроек системного или прикладного программного обеспечения, DATAPK может использоваться для автоматизации контроля его выполнения, также реализовано в части доступа к DATAPK

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — ИАФ.6 Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)

  • Приказ 21 — ИАФ.6 Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)

  • Приказ 31 — ИАФ.5 Идентификация и аутентификация внешних пользователей

Наверх

Обратно к I. Идентификация и аутентификация (ИАФ)

ИАФ.6 Двусторонняя аутентификация

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Встроенные механизмы обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: Системы управления учётными данными и доступом (IAM)

Возможности некоторых продуктов:

  • CL DATAPK - В случае, если реализация требования зависит от настроек системного или прикладного программного обеспечения, DATAPK может использоваться для автоматизации контроля его выполнения, также реализовано в части доступа к DATAPK
  • Secret Net Studio 8.5 - Межсетевой экран, авторизация соединений
  • Secret Net Studio - C 8.5 - Межсетевой экран, авторизация соединений

  • АПКШ Континент 3.7 - Межсетевой экран, авторизация соединений
  • Континент-АП + Сервер доступа 3.7 - Межсетевой экран, авторизация соединений
  • vGate 4.0 - Двусторонняя аутентификация клиентов и СА
  • InfoWatch Endpoint Security - Шифрование

  • InfoWatch ARMA Industrial Firewall - Может применятся

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ИАФ.6 Двусторонняя аутентификация

Наверх

Обратно к I. Идентификация и аутентификация (ИАФ)

ИАФ.7 Защита аутентификационной информации при передаче

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: Системы управления учётными данными и доступом (IAM)

Возможности некоторых продуктов:

  • CL DATAPK - В случае, если реализация требования зависит от настроек системного или прикладного программного обеспечения, DATAPK может использоваться для автоматизации контроля его выполнения, также реализовано в части доступа к DATAPK.
  • Secret Net Studio 8.5 - Сокрытие вводимой парольной информации и информации для доступа к памяти ЭИ. Защита от перехвата пароля при сетевых обращениях
  • Secret Net Studio - C 8.5 - Сокрытие вводимой парольной информации и информации для доступа к памяти ЭИ. Защита от перехвата пароля при сетевых обращениях
  • Secret Net LSP 1.9 - Сокрытие вводимой парольной информации и информации для доступа к памяти ЭИ.
  • ПАК “Соболь” 3.0.9 (M2) - Сокрытие вводимой парольной информации. Полный контроль над USB-интерфейсом (для USB-идентификаторов) и выделенный канал передачи данных для iButton
  • Соболь 4.2 - Сокрытие вводимой парольной информации. Полный контроль над USB-интерфейсом (для USB-идентификаторов) и выделенный канал передачи данных для iButton
  • АПКШ Континент 3.7 - Шифрованный канал
  • Континент-АП + Сервер доступа 3.7 - Шифрованный канал Сокрытие вводимой парольной информации.
  • vGate 4.0 - Сокрытие вводимой парольной информации, защита от перехвата вводимого пароля, кодированный канал при сетевой аутентификации

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ИАФ.7 Защита аутентификационной информации при передаче

Наверх

Обратно к I. Идентификация и аутентификация (ИАФ)

II. Управление доступом (УПД)

Наверх

УПД.0 Регламентация правил и процедур управления доступом

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Процедурное

Способ реализации: Организационные мероприятия -  разработка правил и процедур (политик) управления доступом. Реализуется путём выполнения положений внутренних документов.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — УПД.0 Разработка политики управления доступом

Наверх

Обратно к II. Управление доступом (УПД)

УПД.1 Управление учетными записями пользователей

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способ реализации: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Управление учетными записями в программе управления пользователями SNS
  • Secret Net Studio - C 8.5 - Управление учетными записями в программе управления пользователями SNS
  • Secret Net LSP 1.9 - Управление пользователями: добавление/удаление пользователей; изменение атрибутов пользователей; добавление/удаление группы пользователей; изменение атрибутов групп; включение/исключение пользователей из группы; задание/изменение паролей и атрибутов паролей пользователей; изменение настроек по умолчанию для паролей новых пользователей; блокировка и разблокировка учетных записей пользователей.
  • ПАК “Соболь” 3.0.9 (M2) - 1) Управление учетными записями ПАК “Соболь” (Администратор, пользователи, AUTOLOAD) - создание, удаление, управление параметрами, блокировка, активация 2) При совместной работе с Secret Net в Соболь могут синхронизироваться пользователи из Windows и домена.
  • Соболь 4.2 - 1) Управление учетными записями ПАК “Соболь” (Администратор, пользователи, AUTOLOAD) - создание, удаление, управление параметрами, блокировка, активация 2) При совместной работе с Secret Net в Соболь могут синхронизироваться пользователи из Windows и домена.
  • АПКШ Континент 3.7 - Управление учетными записями пользователей и групп пользователей на ЦУС.
  • Континент-АП + Сервер доступа 3.7 - В 3.7 появились роли в АП: администратор, пользователь. Работа с учетными записями в ПУ СД.
  • vGate 4.0 - Управление пользователями, создание, удаление, изменение привелегий, блокирование

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — УПД.1 Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей

  • Приказ 21 — УПД.1 Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в   том числе внешних пользователей

  • Приказ 31 — УПД.1 Управление учетными записями пользователей

Наверх

Обратно к II. Управление доступом (УПД)

УПД.2 Реализация модели управления доступом

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: Рекомендуется конкретизировать требования по методам разграничения доступа для разработчика АСУ ТП, так как это накладывает дополнительные требования на используемое базовое ПО (SCADA) и на сам код проекта. На практике востребована только ролевая модель управления доступом, с разграничением доступа на уровне функций АСУ ТП.

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Дискреционный метод разграничения доступа к объектам ФС, устройствам компьютера (usb, физические диски, принтеры, сетевые интерфейсы). Мандатный метод разграничения доступа к объектам ФС, устройствам (usb, диски, принтеры, сетевые интерфейсы)
  • Secret Net Studio - C 8.5 - Дискреционный метод разграничения доступа к объектам ФС, устройствам компьютера (usb, физические диски, принтеры, сетевые интерфейсы). Мандатный метод разграничения доступа к объектам ФС, устройствам (usb, диски, принтеры, сетевые интерфейсы)
  • Secret Net LSP 1.9 - Дискреционный метод разграничения доступа к объектам ФС, к шинам USB, SATA, IEEE 1394 и подключаемым к ним устройствам
  • ПАК “Соболь” 3.0.9 (M2) - Разграничение полномочий администратора/оператора ПАК “Соболь”. Доступ к информации никак не разграничивается.
  • Соболь 4.2 - Разграничение полномочий администратора/оператора ПАК “Соболь”. Доступ к информации никак не разграничивается.
  • АПКШ Континент 3.7 - Предоставление доступа к сетевым ресурсам для групп пользователей.
  • Континент-АП + Сервер доступа 3.7 - В 3.7 - ролевой метод для КС3.
  • vGate 4.0 - Мандатные правила доступа (иерархческие и неиерархические) в отношении объектов ВИ. Дискреционное разграничение досутпа к серверам виртуализации и серверам управления виртуализацией

  • InfoWatch ARMA Industrial Firewall - Портал авторизации позволяет настраивать параметры доступа пользователей к ресурсам

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — УПД.2 Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа

  • Приказ 21 — УПД.2 Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа

  • Приказ 31 — УПД.2 Реализация политик управления доступа

Наверх

Обратно к II. Управление доступом (УПД)

УПД.3 Доверенная загрузка

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + +  

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Требование реализуется вешними средствами защиты информации.
  • возможные: Требование может быть реализовано с применением средств доверенной загрузки (СДЗ) для автоматизированных рабочих мест/серверов и специализированным средствами для доверенной загрузки компонентов среды виртуализации.

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Интеграция с ПАК “Соболь”, ЦУ ПАК “Соболь”. Компенсирующая мера - модуль Защита диска
  • Secret Net Studio - C 8.5 - Интеграция с ПАК “Соболь”, ЦУ ПАК “Соболь”. Компенсирующая мера - модуль Защита диска
  • Secret Net LSP 1.9 - Интеграция с ПАК “Соболь”
  • ПАК “Соболь” 3.0.9 (M2) - Доверенная загрузка до загрузки ОС. Без аутентификации пользователя с предъявлением идентификатора доступ к ресурсам СВТ не предоставляется. Механизм сторожевого таймера + ДСЧ.
  • Соболь 4.2 - Доверенная загрузка до загрузки ОС. Без аутентификации пользователя с предъявлением идентификатора доступ к ресурсам СВТ не предоставляется. Механизм сторожевого таймера + ДСЧ.
  • АПКШ Континент 3.7 - Встроенный ПАК “Соболь”
  • Континент-АП + Сервер доступа 3.7 - Встроенный ПАК “Соболь”
  • vGate 4.0 - Доверенная загрузка ВМ
  • InfoWatch Endpoint Security - В будущем

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — УПД.17 Обеспечение доверенной загрузки средств вычислительной техники

  • Приказ 21 — УПД.17 Обеспечение доверенной загрузки средств вычислительной техники

  • Приказ 31 — УПД.3 Доверенная загрузка

Наверх

Обратно к II. Управление доступом (УПД)

УПД.4 Разделение полномочий (ролей) пользователей

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способ реализации: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Права доступа/группы пользователей, администраторов, защита от локального администратора
  • Secret Net Studio - C 8.5 - Права доступа/группы пользователей, администраторов, защита от локального администратора
  • Secret Net LSP 1.9 - Права доступа/группы пользователей, администраторов
  • ПАК “Соболь” 3.0.9 (M2) - Обязанности администратора и пользователя ПАК “Соболь”. Пользователи по категориям не разделяются. Для определенных пользователей можно задавать возможность загрузки с нештатных носителей и мягкую реакцию на нарушения при контроле целостности.
  • Соболь 4.2 - Обязанности администратора и пользователя ПАК “Соболь”. Пользователи по категориям не разделяются. Для определенных пользователей можно задавать возможность загрузки с нештатных носителей и мягкую реакцию на нарушения при контроле целостности.
  • АПКШ Континент 3.7 - Роли учетных записей, ПУ ЦУС
  • Континент-АП + Сервер доступа 3.7 - В 3.7 появились роли в АП: администратор, пользователь.
  • vGate 4.0 - Выделенные роли АБИ и АВИ, которые в свою очередь имеют дополнительное разделение на роли
  • InfoWatch Endpoint Security - Разграничение прав доступа пользователей к файлам

  • InfoWatch Traffic Monitor - Разграничение прав доступа пользователей к файлам (модуль Device Monitor)

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — УПД.4 Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы

  • Приказ 21 — УПД.4 Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы

  • Приказ 31 — УПД.4 Разделение полномочий (ролей) пользователей

Наверх

Обратно к II. Управление доступом (УПД)

УПД.5 Назначение минимально необходимых прав и привилегий

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Процедурное

Способы реализации:

  • рекомендуемые: Организационные меры.
  • возможные: Как правило, информацией, необходимой для разработки матрицы доступа, обладает проектировщик АСУ ТП, как следствие наиболее простой способ реализации требования – обязывать проектировщика разрабатывать матрицу доступа в составе проектной документации на АСУ ТП.

Возможности некоторых продуктов:

  • InfoWatch Endpoint Security - Разграничение уровня доступа

  • InfoWatch Traffic Monitor - Разграничение уровня доступа (модуль Device Monitor)

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы

  • Приказ 21 — УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы

  • Приказ 31 — УПД.5 Назначение минимально необходимых прав и привилегий

Наверх

Обратно к II. Управление доступом (УПД)

УПД.6 Ограничение неуспешных попыток доступа в информационную (автоматизированную) систему

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: Как правило, подобное требование реализуется ограниченно (только для административных интерфейсов), так как ограничения доступа в оперативном режиме могут создать риски для нормального протекания технологического процесса.

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Задается количество неудачных попыток аутентификации, после чего компьютер будет блокирован
  • Secret Net Studio - C 8.5 - Задается количество неудачных попыток аутентификации, после чего компьютер будет блокирован
  • Secret Net LSP 1.9 - Ограничение количества неудачных попыток аутентификации - блокировка учетной записи
  • ПАК “Соболь” 3.0.9 (M2) - Блокировка при достижении максимально возможного значения попыток входа
  • Соболь 4.2 - Блокировка при достижении максимально возможного значения попыток входа
  • АПКШ Континент 3.7 - Средствами ПАК “Соболь”
  • Континент-АП + Сервер доступа 3.7 - Средствами ПАК “Соболь” Средствами КриптоПро
  • vGate 4.0 - Возможность задания количества неуспешных попыток входа, после чего учетная запись блокируется

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — УПД.6 Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе)

  • Приказ 21 — УПД.6 Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе)

  • Приказ 31 — УПД.6 Ограничение неуспешных попыток доступа в информационную (автоматизированную) систему

Наверх

Обратно к II. Управление доступом (УПД)

УПД.7 Предупреждение пользователя при его доступе к информационным ресурсам

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Тип требования: Функциональное

Способ реализации: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Предупреждение пользователя о мерах защиты информации до входа в систему
  • Secret Net Studio - C 8.5 - Предупреждение пользователя о мерах защиты информации до входа в систему
  • Secret Net LSP 1.9 - экран идентификации + заставка
  • ПАК “Соболь” 3.0.9 (M2) - Есть заставка Соболь + экран идентификации
  • Соболь 4.2 - Есть заставка Соболь + экран идентификации

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — УПД.7 Предупреждение пользователя при его входе в информационную систему о том, что в информационной системе реализованы меры защиты информации, и о необходимости соблюдения им установленных оператором правил обработки информации

  • Приказ 21 — УПД.7 Предупреждение пользователя при его входе в информационную систему о том, что в информационной системе реализованы меры по обеспечению безопасности персональных данных, и о необходимости соблюдения установленных оператором правил обработки персональных данных

  • Приказ 31 — УПД.7 Предупреждение пользователя при его доступе к информационным ресурсам

Наверх

Обратно к II. Управление доступом (УПД)

УПД.8 Оповещение пользователя при успешном входе о предыдущем доступе к информационной (автоматизированной) системе

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Тип требования: Функциональное

Способ реализации: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Политика “Оповещение пользователя о последнем успешном входе в систему”
  • Secret Net Studio - C 8.5 - Политика “Оповещение пользователя о последнем успешном входе в систему”

  • ПАК “Соболь” 3.0.9 (M2) - Время(часы:минуты) и дата(день/месяц/год) тех моментов времени, когда был выполнен ваш вход в систему в текущеми в предыдущем сеансе работы на компьютере соответственно. Время и дата фиксируются в моментнажатия при вводе пароля
  • Соболь 4.2 - Время(часы:минуты) и дата(день/месяц/год) тех моментов времени, когда был выполнен ваш вход в систему в текущеми в предыдущем сеансе работы на компьютере соответственно. Время и дата фиксируются в моментнажатия при вводе пароля

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — УПД.8 Оповещение пользователя после успешного входа в информационную систему о его предыдущем входе в информационную систему

  • Приказ 21 — УПД.8 Оповещение пользователя после успешного входа в информационную систему о его предыдущем входе в информационную систему

  • Приказ 31 — УПД.8 Оповещение пользователя при успешном входе предыдущем доступе к информационной (автоматизированной) системе

Наверх

Обратно к II. Управление доступом (УПД)

УПД.9 Ограничение числа параллельных сеансов доступа

Категория значимости 1 2 3
Наличие требования в Базовом набор мер +    

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: Требование может быть реализованы с помощью Служба каталогов (LDAP, Microsoft AD).

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Возможность аппаратной аутентификации и блокировки сессии при изъятии средства аутентификации
  • Secret Net Studio - C 8.5 - Возможность аппаратной аутентификации и блокировки сессии при изъятии средства аутентификации
  • Secret Net LSP 1.9 - Возможность аппаратной аутентификации и блокировки сессии при изъятии средства аутентификации (Политика “Блокировать экран при изятии токена”)

  • АПКШ Континент 3.7 - Жесткое ограничение: 1 пользователь - 1 КШ - 1 соединение.
  • Континент-АП + Сервер доступа 3.7 - настройка “разрешить множественные подключения” на СД

  • InfoWatch ARMA Industrial Firewall - Портал авторизации позволяет установить ограничение на параллельные сеансы доступа

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — УПД.9 Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы

  • Приказ 21 — УПД.9 Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы

  • Приказ 31 — УПД.9 Ограничение числа параллельных сеансов доступа

Наверх

Обратно к II. Управление доступом (УПД)

УПД.10 Блокирование сеанса доступа пользователя при неактивности

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способ реализации: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Возможность блокировки сессии пользователя по периоду неактивности
  • Secret Net Studio - C 8.5 - Возможность блокировки сессии пользователя по периоду неактивности

  • ПАК “Соболь” 3.0.9 (M2) - Если в течение заданного интервала времени не прислонил электронный идентификатор - ИС блокируется до перезагрузки
  • Соболь 4.2 - Если в течение заданного интервала времени не прислонил электронный идентификатор - ИС блокируется до перезагрузки

  • Континент-АП + Сервер доступа 3.7 - alive-ы, разрыв связи по истечении времени неактивности
  • vGate 4.0 - Только для доступа к ESXi, ограничение времени неактивности пользователя

  • InfoWatch ARMA Industrial Firewall - +

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — УПД.10 Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу

  • Приказ 21 — УПД.10 Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу

  • Приказ 31 — УПД.10 Блокирование сеанса доступа пользователя при неактивности

Наверх

Обратно к II. Управление доступом (УПД)

УПД.11 Управление действиями пользователей до идентификации и аутентификации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способ реализации: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Без входа в систему (идентификации и аутентификации) все действия недоступны
  • Secret Net Studio - C 8.5 - Без входа в систему (идентификации и аутентификации) все действия недоступны
  • Secret Net LSP 1.9 - Без входа в систему (идентификации и аутентификации) все действия недоступны
  • ПАК “Соболь” 3.0.9 (M2) - Без идентификации не осуществляется загрузка, пользователь ничего не может делать. Ограничение числа попыток входа.
  • Соболь 4.2 - Без идентификации не осуществляется загрузка, пользователь ничего не может делать. Ограничение числа попыток входа.

  • Континент-АП + Сервер доступа 3.7 - Режиме ожидания МСЭ на АП. Правила фильтрации до авторизации - правила сетевой фильтрации, разрешают минимальное кол-во технических соединений, обеспечивающих работу компьютера в сети.
  • vGate 4.0 - До прохождения процедуры идентификации и аутентификации любые действия запрещены

  • InfoWatch ARMA Industrial Firewall - +

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — УПД.11 Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации

  • Приказ 21 — УПД.11 Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации

  • Приказ 31 — УПД.11 Управление действиями пользователей до идентификации и аутентификации

Наверх

Обратно к II. Управление доступом (УПД)

УПД.12 Управление атрибутами безопасности

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: Требование может быть реализованы с помощью Служба каталогов (LDAP, Microsoft AD).

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Управление атрибутами в рамках настройки дискреционного и мандатного доступа. Атрибуты сохраняются в процессе обработки информации
  • Secret Net Studio - C 8.5 - Управление атрибутами в рамках настройки дискреционного и мандатного доступа. Атрибуты сохраняются в процессе обработки информации
  • Secret Net LSP 1.9 - Управление атрибутами в рамках настройки дискреционного доступа. Атрибуты сохраняются в процессе обработки информации

  • vGate 4.0 - Назначение меток на объекты ВИ и контроль операций с ними
  • InfoWatch Endpoint Security - Шифрование

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — УПД.12 Поддержка и сохранение атрибутов безопасности (меток безопасности), связанных с информацией в процессе ее хранения и обработки

  • Приказ 21 — УПД.12 Поддержка и сохранение атрибутов безопасности (меток безопасности),  связанных  с информацией в процессе ее хранения и обработки

  • Приказ 31 — УПД.12 Управление атрибутами безопасности

Наверх

Обратно к II. Управление доступом (УПД)

УПД.13 Реализация защищенного удаленного доступа

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Требование реализуется средствами защиты информации для организации удалённого доступа.
  • возможные: Требование может быть реализовано с применением технологий организации виртуальных рабочих мест (VDI, терминальный доступ). Требование может быть реализовано в рамках договоров на оказание услуг по организации и предоставлению каналов передачи данных.

Возможности некоторых продуктов:

  • АПКШ Континент 3.7 - Основной функционал
  • Континент-АП + Сервер доступа 3.7 - Основной функционал

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — УПД.13 Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети

  • Приказ 21 — УПД.13 Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети

  • Приказ 31 — УПД.13 Реализация защищенного удаленного доступа

Наверх

Обратно к II. Управление доступом (УПД)

УПД.14 Контроль доступа из внешних информационных (автоматизированных) систем

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Требование реализуется средствами защиты информации для контроля доступа.
  • возможные: Требование может быть реализовано с применением систем контроля действий привилегированных учетных записей (PAM). Требование может быть реализовано с путём ограничения использования беспроводного доступа и мобильных технических средств.

Возможности некоторых продуктов:

  • CL DATAPK - Выявление и контроль (проверка/учет) информационных потоков по сетевым реквизитам источников и получателей, а также протоколу и данным пакетов. Осуществляется контроль информационных потоков, для которых источник или получатель находится за пределами защищаемой АСУ ТП.

  • ПАК “Соболь” 3.0.9 (M2) - В Соболе есть автономный и сетевой режим работы. Взаимодействие с внешними ИС возможно только в сетевом режиме.

  • InfoWatch ARMA Industrial Firewall - +

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — УПД.16 Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы)

  • Приказ 21 — УПД.16 Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы)

  • Приказ 31 — УПД.14 Контроль доступа из внешних информационных (автоматизированных) систем

Наверх

Обратно к II. Управление доступом (УПД)

III. Ограничение программной среды (ОПС)

Наверх

ОПС.0 Регламентация правил и процедур ограничения программной среды

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + +  

Тип требования: Процедурное

Способ реализации: Организационные меры.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ОПС.0 Разработка политики ограничения программной среды

Наверх

Обратно к III. Ограничение программной среды (ОПС)

ОПС.1 Управление запуском (обращениями) компонентов программного обеспечения

Категория значимости 1 2 3
Наличие требования в Базовом набор мер +    

Возможности некоторых продуктов:

  • CL DATAPK - Управление реализуется путем:
    • Идентификации запущенных компонентов программного обеспечения по имени, пути исполняемого файла, пользователю, запустившему процесс и другим атрибутам.
    • Периодического контроля перечня запущенных компонентов программного обеспечения с выявлением фактов их запуска и останова.
    • Определения легитимности факта запуска компонентов программного обеспечения путем сравнения перечня запущенных процессов с перечнем разрешенных процессов (эталонная конфигурация) и выявления отклонения от разрешенных значений.
    • Реагирования силами оператора / ответственного лица на факт выявления инцидента ИБ

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ОПС.1 Управление запуском (обращениями) компонентов программного обеспечения

Наверх

Обратно к III. Ограничение программной среды (ОПС)

ОПС.2 Управление установкой (инсталляцией) компонентов программного обеспечения

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + +  

Возможности некоторых продуктов:

  • CL DATAPK - Управление реализуется путем:
    • Идентификации установленных компонентов программного обеспечения по имени, пути, версии и другим атрибутам.
    • Периодического контроля перечня установленных компонентов программного обеспечения с выявлением фактов их запуска и останова.
    • Определения легитимности факта наличия установленных компонентов программного обеспечения путем сравнения их перечня с перечнем разрешенных процессов (эталонная конфигурация) и выявления отклонения от разрешенных значений.
    • Реагирования силами оператора / ответственного лица на факт выявления инцидента ИБ

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ОПС.2 Управление установкой (инсталляцией) компонентов программного обеспечения

Наверх

Обратно к III. Ограничение программной среды (ОПС)

ОПС.3 Управление временными файлами

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ОПС.3 Управление временными файлами

Наверх

Обратно к III. Ограничение программной среды (ОПС)

IV. Защита машинных носителей информации (ЗНИ)

Наверх

ЗНИ.0 Регламентация правил и процедур защиты машинных носителей информации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Процедурное

Способ реализации: Организационные меры.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗНИ.0 Разработка политики защиты машинных носителей информации

Наверх

Обратно к IV. Защита машинных носителей информации (ЗНИ)

ЗНИ.1 Учет машинных носителей информации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗНИ.1 Учет машинных носителей информации

Наверх

Обратно к IV. Защита машинных носителей информации (ЗНИ)

ЗНИ.2 Управление физическим доступом к машинным носителям информации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗНИ.2 Управление физическим доступом к машинным носителям информации

Наверх

Обратно к IV. Защита машинных носителей информации (ЗНИ)

ЗНИ.3 Контроль перемещения машинных носителей информации за пределы контролируемой зоны

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗНИ.3 Контроль перемещения машинных носителей информации за пределы контролируемой зоны

Наверх

Обратно к IV. Защита машинных носителей информации (ЗНИ)

ЗНИ.4 Исключение возможности несанкционированного чтения информации на машинных носителях информации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗНИ.4 Исключение возможности несанкционированного чтения информации на машинных носителях информации

Наверх

Обратно к IV. Защита машинных носителей информации (ЗНИ)

ЗНИ.5 Контроль использования интерфейсов ввода (вывода) информации на съемные машинные носители информации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗНИ.5 Контроль использования интерфейсов ввода (вывода) информации на машинные носители информации

Наверх

Обратно к IV. Защита машинных носителей информации (ЗНИ)

ЗНИ.6 Контроль ввода (вывода) информации на съемные машинные носители информации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер +    

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗНИ.6 Контроль ввода (вывода) информации на машинные носители информации

Наверх

Обратно к IV. Защита машинных носителей информации (ЗНИ)

ЗНИ.7 Контроль подключения съемных машинных носителей информации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Возможности некоторых продуктов:

  • CL DATAPK - Периодический контроль подключенных устройств. Периодическое получение с объекта защиты информации о подключенных к нему устройствах с использованием активного сбора данных.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗНИ.7 Контроль подключения машинных носителей информации

Наверх

Обратно к IV. Защита машинных носителей информации (ЗНИ)

ЗНИ.8 Уничтожение (стирание) информации на машинных носителях информации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗНИ.8 Уничтожение (стирание) информации на машинных носителях информации

Наверх

Обратно к IV. Защита машинных носителей информации (ЗНИ)

V. Аудит безопасности (АУД)

Наверх

АУД.0 Регламентация правил и процедур аудита безопасности

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Процедурное

Способ реализации: Организационные меры.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — АУД.0 Разработка политики аудита безопасности

Наверх

Обратно к V. Аудит безопасности (АУД)

АУД.1 Инвентаризация информационных ресурсов

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Возможности некоторых продуктов:

  • CL DATAPK - Анализ сетевого трафика. Сбор конфигураций. Реализация указанной меры включает в себя:
    • Автоматическое назначение уникальных идентификаторов объектам защиты, определение сетевых параметров, полученных в режиме пассивного мониторинга – MAC-адреса и IP-адреса (при наличии).
    • Автоматическое назначение принадлежности объекта защиты к указанной в CL DATAPK домашней подсети.
    • Указание дополнительных идентификаторов для объектов защиты пользователем: наименования, типа объекта защиты. Возможность указания принадлежности к группам и присвоение меток.
    • Периодическое получение с объекта защиты конфигураций с использованием активного сбора данных и контроль за изменением получаемых конфигураций. Описание механизма активного сбора данных и контроль за изменением конфигурации ОЗ приведено в приложении А

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — АУД.1 Инвентаризация информационных ресурсов

Наверх

Обратно к V. Аудит безопасности (АУД)

АУД.2 Анализ уязвимостей и их устранение

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Возможности некоторых продуктов:

  • CL DATAPK - Анализ уязвимостей. Контроль соответствия требованиям ИБ. С целью осуществления оценки состояния объектов защиты в CL DATAPK реализована поддержка языка OVAL (Open Vulnerability and Assessment Language). Это основанный на XML формат, предназначенный для автоматизированной оценки безопасности систем и предоставляющий средства для описания исследуемой системы, анализа ее состояния и формирования отчетов о результатах проверки. Реализация указанной меры включает в себя:
    • Выполнение сканирования защищенности объектов защиты – активное взаимодействие с объектами защиты с целью выявления уязвимостей и способов их эксплуатации. Данный режим работы целесообразно применять только в режиме технического обслуживания АСУ ТП.
    • Формирование отчетов по результатам сканирования ОЗ на уязвимости, включающие список выявленных уязвимостей и рекомендации по устранению выявленных уязвимостей.
    • Формирование отчетов по результатам проверки конфигураций ОЗ на соответствие требованиям ИБ, включающий список выявленных несоответствий.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — АУД.2 Анализ уязвимостей и их устранение

Наверх

Обратно к V. Аудит безопасности (АУД)

АУД.3 Генерирование временных меток и (или) синхронизация системного времени

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — АУД.3 Генерирование временных меток и (или) синхронизация системного времени

Наверх

Обратно к V. Аудит безопасности (АУД)

АУД.4 Регистрация событий безопасности

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Возможности некоторых продуктов:

  • CL DATAPK - Прием событий ИБ от объектов защиты. Генерация собственных событий ИБ

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — АУД.4 Регистрация событий безопасности

Наверх

Обратно к V. Аудит безопасности (АУД)

АУД.5 Контроль и анализ сетевого трафика

Категория значимости 1 2 3
Наличие требования в Базовом набор мер +    

Возможности некоторых продуктов:

  • CL DATAPK - Реализация указанной меры включает в себя:
    • Выявление и контроль (проверка/учет) информационных потоков по сетевым реквизитам источников и получателей, а также протоколу и полезной нагрузке пакетов.
    • Анализ сетевого трафика реализуется путем разбора полей и полезной нагрузки пакетов и их анализа в соответствии с описанием протоколов и полезной нагрузки.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — АУД.5 Контроль и анализ сетевого трафика

Наверх

Обратно к V. Аудит безопасности (АУД)

АУД.6 Защита информации о событиях безопасности

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Возможности некоторых продуктов:

  • CL DATAPK - Управление доступом к БД.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — АУД.6 Защита информации о событиях безопасности

Наверх

Обратно к V. Аудит безопасности (АУД)

АУД.7 Мониторинг безопасности

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Возможности некоторых продуктов:

  • CL DATAPK - Мониторинг состояния ИБ путем контроля конфигураций, анализа уязвимостей, соответствия требованиям ИБ, сбор и корреляция событий ИБ. Реализация указанной меры включает в себя:
    • Возможность просмотра и фильтрации списка полученных событий и инцидентов ИБ. Визуализация статистических параметров для событий и инцидентов.
    • Выполнение сканирования защищенности объектов защиты – активное взаимодействие с объектами защиты с целью выявления уязвимостей и способов их эксплуатации. Формирование отчетов по результатам выполнения проверок.
    • Выполнение корреляции полученных событий службой корреляции на основе загруженных в CL DATAPK правил. Генерация инцидента ИБ в случае обнаружения событий и условий, соответствующих загруженному правилу корреляции.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — АУД.7 Мониторинг безопасности

Наверх

Обратно к V. Аудит безопасности (АУД)

АУД.8 Реагирование на сбои при регистрации событий безопасности

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — АУД.8 Реагирование на сбои при регистрации событий безопасности

Наверх

Обратно к V. Аудит безопасности (АУД)

АУД.9 Анализ действий отдельных пользователей

Категория значимости 1 2 3
Наличие требования в Базовом набор мер +    

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — АУД.9 Анализ действий пользователей

Наверх

Обратно к V. Аудит безопасности (АУД)

АУД.10 Проведение внутренних аудитов

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — АУД.10 Проведение внутренних аудитов

Наверх

Обратно к V. Аудит безопасности (АУД)

АУД.11 Проведение внешних аудитов

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — АУД.11 Проведение внешних аудитов

Наверх

Обратно к V. Аудит безопасности (АУД)

VI. Антивирусная защита (АВЗ)

Наверх

АВЗ.0 Регламентация правил и процедур антивирусной защиты

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — АВЗ.0 Разработка политики антивирусной защиты

Наверх

Обратно к VI. Антивирусная защита (АВЗ)

АВЗ.1 Реализация антивирусной защиты

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — АВЗ.1 Реализация антивирусной защиты

Наверх

Обратно к VI. Антивирусная защита (АВЗ)

АВЗ.2 Антивирусная защита электронной почты и иных сервисов

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — АВЗ.2 Антивирусная защита электронной почты и иных сервисов

Наверх

Обратно к VI. Антивирусная защита (АВЗ)

АВЗ.3 Контроль использования архивных, исполняемых и зашифрованных файлов

Категория значимости 1 2 3
Наличие требования в Базовом набор мер +    

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — АВЗ.3 Контроль использования архивных, исполняемых и зашифрованных файлов

Наверх

Обратно к VI. Антивирусная защита (АВЗ)

АВЗ.4 Обновление базы данных признаков вредоносных компьютерных программ (вирусов)

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — АВЗ.4 Обновление базы данных признаков вредоносных компьютерных программ (вирусов)

Наверх

Обратно к VI. Антивирусная защита (АВЗ)

АВЗ.5 Использование средств антивирусной защиты различных производителей

Категория значимости 1 2 3
Наличие требования в Базовом набор мер +    

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — АВЗ.5 Использование средств антивирусной защиты различных производителей

Наверх

Обратно к VI. Антивирусная защита (АВЗ)

VII. Предотвращение вторжений (компьютерных атак) (СОВ)

Наверх

СОВ.0 Регламентация правил и процедур предотвращения вторжений (компьютерных атак)

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + +  

Тип требования: Процедурное

Способ реализации: Организационные меры.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — СОВ.0 Разработка политики предотвращения вторжений (компьютерных атак)

Наверх

Обратно к VII. Предотвращение вторжений (компьютерных атак) (СОВ)

СОВ.1 Обнаружение и предотвращение компьютерных атак

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + +  

Возможности некоторых продуктов:

  • CL DATAPK - Обнаружение вторжений путем сигнатурного анализа копии трафика, циркулирующего в АСУ ТП.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — СОВ.1 Обнаружение и предотвращение компьютерных атак

Наверх

Обратно к VII. Предотвращение вторжений (компьютерных атак) (СОВ)

СОВ.2 Обновление базы решающих правил

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + +  

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — СОВ.2 Обновление базы решающих правил

Наверх

Обратно к VII. Предотвращение вторжений (компьютерных атак) (СОВ)

VIII. Обеспечение целостности (ОЦЛ)

Наверх

ОЦЛ.0 Регламентация правил и процедур обеспечения целостности

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Процедурное

Способ реализации: Организационные меры.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ОЦЛ.0 Разработка политики обеспечения целостности

Наверх

Обратно к VIII. Обеспечение целостности (ОЦЛ)

ОЦЛ.1 Контроль целостности программного обеспечения

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Возможности некоторых продуктов:

  • CL DATAPK - Контроль целостности файлов, реестра, БД, результатов вывода команд. Включает в себя активный сбор данных с ОЗ (из файлов, реестра, баз данных, выводов команд) и контроль за изменениями собираемых данных.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ОЦЛ.1 Контроль целостности программного обеспечения

Наверх

Обратно к VIII. Обеспечение целостности (ОЦЛ)

ОЦЛ.2 Контроль целостности информации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Возможности некоторых продуктов:

  • CL DATAPK - Контроль целостности файлов, реестра, БД, результатов вывода команд. Включает в себя активный сбор данных с ОЗ (из файлов, реестра, баз данных, выводов команд) и контроль за изменениями собираемых данных.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ОЦЛ.2 Контроль целостности информации

Наверх

Обратно к VIII. Обеспечение целостности (ОЦЛ)

ОЦЛ.3 Ограничения по вводу информации в информационную (автоматизированную) систему

Категория значимости 1 2 3
Наличие требования в Базовом набор мер +    

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ОЦЛ.3 Ограничения по вводу информации в информационную (автоматизированную) систему

Наверх

Обратно к VIII. Обеспечение целостности (ОЦЛ)

ОЦЛ.4 Контроль данных, вводимых в информационную (автоматизированную) систему

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + +  

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ОЦЛ.4 Контроль данных, вводимых в информационную (автоматизированную) систему

Наверх

Обратно к VIII. Обеспечение целостности (ОЦЛ)

ОЦЛ.5 Контроль ошибочных действий пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действиях

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + +  

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ОЦЛ.5 Контроль ошибочных действий пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действиях

Наверх

Обратно к VIII. Обеспечение целостности (ОЦЛ)

ОЦЛ.6 Обезличивание и (или) деидентификация информации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ОЦЛ.6 Обезличивание и (или) деидентификация информации

Наверх

Обратно к VIII. Обеспечение целостности (ОЦЛ)

IX. Обеспечение доступности (ОДТ)

Наверх

ОДТ.0 Регламентация правил и процедур обеспечения доступности

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ОДТ.0 Разработка политики обеспечения доступности

Наверх

Обратно к IX. Обеспечение доступности (ОДТ)

ОДТ.1 Использование отказоустойчивых технических средств

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + +  

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ОДТ.1 Использование отказоустойчивых технических средств

Наверх

Обратно к IX. Обеспечение доступности (ОДТ)

ОДТ.2 Резервирование средств и систем

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + +  

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ОДТ.2 Резервирование средств и систем

Наверх

Обратно к IX. Обеспечение доступности (ОДТ)

ОДТ.3 Контроль безотказного функционирования средств и систем

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + +  

Возможности некоторых продуктов:

  • CL DATAPK - Проверка доступности объектов защиты. Реализация указанной меры включает в себя:
    • Определение доступности объекта защиты в режиме пассивного мониторинга путем проверки наличия исходящего сетевого трафика от объекта защиты в течение некоторого временного периода. Если в течение указанного периода исходящий трафик отсутствует, объект защиты считается недоступным.
    • Отображение доступности объектов защиты на карте-схеме сети и в списке объектов защиты.
    • Генерация события ИБ в случае недоступности объекта защиты.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ОДТ.3 Контроль безотказного функционирования средств и систем

Наверх

Обратно к IX. Обеспечение доступности (ОДТ)

ОДТ.4 Резервное копирование информации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ОДТ.4 Резервное копирование информации

Наверх

Обратно к IX. Обеспечение доступности (ОДТ)

ОДТ.5 Обеспечение возможности восстановления информации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ОДТ.5 Обеспечение возможности восстановления информации

Наверх

Обратно к IX. Обеспечение доступности (ОДТ)

ОДТ.6 Обеспечение возможности восстановления программного обеспечения при нештатных ситуациях

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ОДТ.6 Обеспечение возможности восстановления программного обеспечения при нештатных ситуациях

Наверх

Обратно к IX. Обеспечение доступности (ОДТ)

ОДТ.7 Кластеризация информационной (автоматизированной) системы

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ОДТ.7 Кластеризация информационной (автоматизированной) системы

Наверх

Обратно к IX. Обеспечение доступности (ОДТ)

ОДТ.8 Контроль предоставляемых вычислительных ресурсов и каналов связи

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ОДТ.8 Контроль предоставляемых вычислительных ресурсов и каналов связи

Наверх

Обратно к IX. Обеспечение доступности (ОДТ)

X. Защита технических средств и систем (ЗТС)

Наверх

ЗТС.0 Регламентация правил и процедур защиты технических средств и систем

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Процедурное

Способ реализации: Организационные меры.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗТС.0 Разработка политики защиты технических средств и систем

Наверх

Обратно к X. Защита технических средств и систем (ЗТС)

ЗТС.1 Защита информации от утечки по техническим каналам

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗТС.1 Защита информации от утечки по техническим каналам

Наверх

Обратно к X. Защита технических средств и систем (ЗТС)

ЗТС.2 Организация контролируемой зоны

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗТС.2 Организация контролируемой зоны

Наверх

Обратно к X. Защита технических средств и систем (ЗТС)

ЗТС.3 Управление физическим доступом

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗТС.3 Управление физическим доступом

Наверх

Обратно к X. Защита технических средств и систем (ЗТС)

ЗТС.4 Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗТС.4 Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр

Наверх

Обратно к X. Защита технических средств и систем (ЗТС)

ЗТС.5 Защита от внешних воздействий

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗТС.5 Защита от внешних воздействий

Наверх

Обратно к X. Защита технических средств и систем (ЗТС)

ЗТС.6 Маркирование аппаратных компонентов системы относительно разрешенной к обработке информации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗТС.6 Маркирование аппаратных компонентов системы относительно разрешенной к обработке информации

Наверх

Обратно к X. Защита технических средств и систем (ЗТС)

XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

Наверх

ЗИС.0 Регламентация правил и процедур защиты информационной (автоматизированной) системы и ее компонентов

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Процедурное

Способ реализации: Организационные меры.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.0 Разработка политики защиты информационной (автоматизированной) системы и ее компонентов

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.1 Разделение функций по управлению (администрированию) информационной (автоматизированной) системой с иными функциями

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.1 Разделение функций по управлению (администрированию) информационной (автоматизированной) системой с иными функциями

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.2 Защита периметра информационной (автоматизированной) системы

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.2 Защита периметра информационной (автоматизированной) системы

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.3 Эшелонированная защита информационной (автоматизированной) системы

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.3 Эшелонированная защита информационной (автоматизированной) системы

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.4 Сегментирование информационной (автоматизированной) системы

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + +  

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.4 Сегментирование информационной (автоматизированной) системы

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.5 Организация демилитаризованной зоны

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.5 Организация демилитаризованной зоны

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.6 Управление сетевыми потоками

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Возможности некоторых продуктов:

  • CL DATAPK - Реализация указанной меры включает в себя:
    • Использование режима пассивного мониторинга сети для обнаружения сетевых информационных потоков;
    • Генерация инцидента ИБ при обнаружении нового неодобренного потока;
    • Определение пользователем CL DATAPK легитимности обнаруженных сетевых потоков. Одобрение потоков (временное или бессрочное) и указание пользователем причины одобрения;
    • Отображение одобренных и неодобренных потоков между объектами защиты на карте сети.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.6 Управление сетевыми потоками

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.7 Использование эмулятора среды функционирования программного обеспечения (“песочница”)

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.7 Использование эмулятора среды функционирования программного обеспечения (“песочница”)

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.8 Сокрытие архитектуры и конфигурации информационной (автоматизированной) системы

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.8 Сокрытие архитектуры и конфигурации информационной (автоматизированной) системы

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.9 Создание гетерогенной среды

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.9 Создание гетерогенной среды

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.10 Использование программного обеспечения, функционирующего в средах различных операционных систем

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.10 Использование программного обеспечения, функционирующего в средах различных операционных систем

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.11 Предотвращение задержки или прерывания выполнения процессов с высоким приоритетом со стороны процессов с низким приоритетом

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.11 Предотвращение задержки или прерывания выполнения процессов с высоким приоритетом со стороны процессов с низким приоритетом

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.12 Изоляция процессов (выполнение программ) в выделенной области памяти

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.12 Изоляция процессов (выполнение программ) в выделенной области памяти

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.13 Защита неизменяемых данных

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + +  

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.13 Защита неизменяемых данных

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.14 Использование неперезаписываемых машинных носителей информации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.14 Использование неперезаписываемых машинных носителей информации

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.15 Реализация электронного почтового обмена с внешними сетями через ограниченное количество контролируемых точек

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.15 Реализация электронного почтового обмена с внешними сетями через ограниченное количество контролируемых точек

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.16 Защита от спама

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + +  

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.16 Защита от спама

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.17 Защита информации от утечек

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.17 Защита информации от утечек

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.18 Блокировка доступа к сайтам или типам сайтов, запрещенных к использованию

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.18 Блокировка доступа к сайтам или типам сайтов, запрещенных к использованию

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.19 Защита информации при ее передаче по каналам связи

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.19 Защита информации при ее передаче по каналам связи

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.20 Обеспечение доверенных канала, маршрута

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.20 Обеспечение доверенных канала, маршрута

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.21 Запрет несанкционированной удаленной активации периферийных устройств

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.21 Запрет несанкционированной удаленной активации периферийных устройств

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.22 Управление атрибутами безопасности при взаимодействии с иными информационными (автоматизированными) системами

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.22 Управление атрибутами безопасности при взаимодействии с иными информационными (автоматизированными) системами

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.23 Контроль использования мобильного кода

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.23 Контроль использования мобильного кода

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.24 Контроль передачи речевой информации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.24 Контроль передачи речевой информации

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.25 Контроль передачи видеоинформации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.25 Контроль передачи видеоинформации

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.26 Подтверждение происхождения источника информации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.26 Подтверждение происхождения источника информации

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.27 Обеспечение подлинности сетевых соединений

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + +  

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.27 Обеспечение подлинности сетевых соединений

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.28 Исключение возможности отрицания отправки информации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.28 Исключение возможности отрицания отправки информации

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.29 Исключение возможности отрицания получения информации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.29 Исключение возможности отрицания получения информации

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.30 Использование устройств терминального доступа

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.30 Использование устройств терминального доступа

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.31 Защита от скрытых каналов передачи информации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.31 Защита от скрытых каналов передачи информации

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.32 Защита беспроводных соединений

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Возможности некоторых продуктов:

  • CL DATAPK - Реализация указанной меры включает в себя:
    • Обнаружение новых каналов передачи информации в качестве сетевых информационных потоков при выполнении пассивного мониторинга сети;
    • Генерация инцидента ИБ при обнаружении нового неодобренного потока;
    • Определение пользователем CL DATAPK легитимности обнаруженного сетевого потока.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.32 Защита беспроводных соединений

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.33 Исключение доступа через общие ресурсы

Категория значимости 1 2 3
Наличие требования в Базовом набор мер +    

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.33 Исключение доступа через общие ресурсы

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.34 Защита от угроз отказа в обслуживании (DOS, DDOS-атак)

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Возможности некоторых продуктов:

  • CL DATAPK - Обнаружение угроз отказа в обслуживании включает в себя анализ сетевого трафика с использованием сигнатурного метода.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.34 Защита от угроз отказа в обслуживании (DOS, DDOS-атак)

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.35 Управление сетевыми соединениями

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.35 Управление сетевыми соединениями

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.36 Создание (эмуляция) ложных компонентов информационных (автоматизированных) систем

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.36 Создание (эмуляция) ложных компонентов информационных (автоматизированных) систем

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.37 Перевод информационной (автоматизированной) системы в безопасное состояние при возникновении отказов (сбоев)

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.37 Перевод информационной (автоматизированной) системы в безопасное состояние при возникновении отказов (сбоев)

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.38 Защита информации при использовании мобильных устройств

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Возможности некоторых продуктов:

  • CL DATAPK - Контроль подключения мобильных устройств. Реализация указанной меры включает в себя периодическое получение с объекта защиты информации о подключенных к нему устройствах с использованием активного сбора данных.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.38 Защита информации при использовании мобильных устройств

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

ЗИС.39 Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ЗИС.39 Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных

Наверх

Обратно к XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

XII. Реагирование на компьютерные инциденты (ИНЦ)

Наверх

ИНЦ.0 Регламентация правил и процедур реагирования на компьютерные инциденты

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Процедурное

Способ реализации: Организационные меры.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ИНЦ.0 Разработка политики реагирования на компьютерные инциденты

Наверх

Обратно к XII. Реагирование на компьютерные инциденты (ИНЦ)

ИНЦ.1 Выявление компьютерных инцидентов

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Возможности некоторых продуктов:

  • CL DATAPK - Выявление и анализ событий ИБ, в т. ч. путем корреляции событий.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ИНЦ.1 Выявление компьютерных инцидентов

Наверх

Обратно к XII. Реагирование на компьютерные инциденты (ИНЦ)

ИНЦ.2 Информирование о компьютерных инцидентах

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Возможности некоторых продуктов:

  • CL DATAPK - Реализация указанной меры включает в себя:
    • Оповещение в интерфейсе CL DATAPK;
    • Передача событий в смежные системы.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ИНЦ.2 Информирование о компьютерных инцидентах

Наверх

Обратно к XII. Реагирование на компьютерные инциденты (ИНЦ)

ИНЦ.3 Анализ компьютерных инцидентов

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ИНЦ.3 Анализ компьютерных инцидентов

Наверх

Обратно к XII. Реагирование на компьютерные инциденты (ИНЦ)

ИНЦ.4 Устранение последствий компьютерных инцидентов

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ИНЦ.4 Устранение последствий компьютерных инцидентов

Наверх

Обратно к XII. Реагирование на компьютерные инциденты (ИНЦ)

ИНЦ.5 Принятие мер по предотвращению повторного возникновения компьютерных инцидентов

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ИНЦ.5 Принятие мер по предотвращению повторного возникновения компьютерных инцидентов

Наверх

Обратно к XII. Реагирование на компьютерные инциденты (ИНЦ)

ИНЦ.6 Хранение и защита информации о компьютерных инцидентах

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Возможности некоторых продуктов:

  • CL DATAPK - Реализация указанной меры включает в себя:
    • Управление доступом к БД;
    • Дублирование информации на уровнях иерархии;
    • Пересылка событий по иерархии.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ИНЦ.6 Хранение и защита информации о компьютерных инцидентах

Наверх

Обратно к XII. Реагирование на компьютерные инциденты (ИНЦ)

XIII. Управление конфигурацией (УКФ)

Наверх

УКФ.0 Регламентация правил и процедур управления конфигурацией информационной (автоматизированной) системы

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Процедурное

Способ реализации: Организационные меры.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — УКФ.0 Разработка политики управления конфигурацией информационной (автоматизированной) системы

Наверх

Обратно к XIII. Управление конфигурацией (УКФ)

УКФ.1 Идентификация объектов управления конфигурацией

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Возможности некоторых продуктов:

  • CL DATAPK - Объекты защиты DATAPK являются объектами управления конфигурацией. Для объектов защиты обеспечивается управление конфигурациями в части их контроля с использованием активного сбора данных.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — УКФ.1 Идентификация объектов управления конфигурацией

Наверх

Обратно к XIII. Управление конфигурацией (УКФ)

УКФ.2 Управление изменениями

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Возможности некоторых продуктов:

  • CL DATAPK - Управление конфигурациями реализуется путем:
    • идентификации конфигурации АСУ ТП в широком смысле (состав узлов, потоков, конфигураций объектов защиты) и ее параметров;
    • привязки конфигураций к объектам защиты, контроля изменений;
    • возможностью управления статусом конфигураций (в т. ч. задания статуса эталонной конфигурации, легитимности узла или потока путем определения таких статусов из интерфейса CL DATAPK);
    • выявления факта несанкционированного изменения конфигурации;
    • реагирования на выявленный инцидент ИБ силами ответственных лиц.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — УКФ.2 Управление изменениями

Наверх

Обратно к XIII. Управление конфигурацией (УКФ)

УКФ.3 Установка (инсталляция) только разрешенного к использованию программного обеспечения

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Возможности некоторых продуктов:

  • CL DATAPK - Контроль списка установленного ПО. Включает в себя периодическое получение с объекта защиты информации об установленном на нем ПО с использованием активного сбора данных с объекта защиты и контроль за изменением получаемой информации (конфигурации).

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — УКФ.3 Установка (инсталляция) только разрешенного к использованию программного обеспечения

Наверх

Обратно к XIII. Управление конфигурацией (УКФ)

УКФ.4 Контроль действий по внесению изменений

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Возможности некоторых продуктов:

  • CL DATAPK - Контроль изменения конфигураций. Включает в себя периодическое получение с объекта защиты конфигурации с использованием активного сбора данных и контроль за изменением получаемой конфигурации.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — УКФ.4 Контроль действий по внесению изменений

Наверх

Обратно к XIII. Управление конфигурацией (УКФ)

XIV. Управление обновлениями программного обеспечения (ОПО)

Наверх

ОПО.0 Регламентация правил и процедур  управления обновлениями программного обеспечения

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Процедурное

Способ реализации: Организационные меры.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ОПО.0 Разработка политики управления обновлениями программного обеспечения

Наверх

Обратно к XIV. Управление обновлениями программного обеспечения (ОПО)

ОПО.1 Поиск, получение обновлений программного обеспечения от доверенного источника

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ОПО.1 Поиск, получение обновлений программного обеспечения от доверенного источника

Наверх

Обратно к XIV. Управление обновлениями программного обеспечения (ОПО)

ОПО.2 Контроль целостности обновлений программного обеспечения

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ОПО.2 Контроль целостности обновлений программного обеспечения

Наверх

Обратно к XIV. Управление обновлениями программного обеспечения (ОПО)

ОПО.3 Тестирование обновлений программного обеспечения

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ОПО.3 Тестирование обновлений программного обеспечения

Наверх

Обратно к XIV. Управление обновлениями программного обеспечения (ОПО)

ОПО.4 Установка обновлений программного обеспечения

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Возможности некоторых продуктов:

  • CL DATAPK - Контроль списка установленного ПО, анализ уязвимостей. Реализация указанной меры включает в себя:
    • Периодическое получение с объекта защиты информации об установленном на нем ПО и его версии с использованием активного сбора данных с объекта защиты и контроль за изменением получаемой информации (конфигурации);
    • Контроль за обновлениями программного обеспечения в ходе сканирования защищенности объекта защиты. Получение результатов сканирования в виде информации об установленной версии ПО и рекомендаций по обновлению ПО для устранения уязвимости.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ОПО.4 Установка обновлений программного обеспечения

Наверх

Обратно к XIV. Управление обновлениями программного обеспечения (ОПО)

XV. Планирование мероприятий по обеспечению безопасности (ПЛН)

Наверх

ПЛН.0 Регламентация правил и процедур планирования мероприятий по обеспечению защиты информации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Процедурное

Способ реализации: Организационные меры.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ПЛН.0 Разработка политики планирования мероприятий по обеспечению защиты информации

Наверх

Обратно к XV. Планирование мероприятий по обеспечению безопасности (ПЛН)

ПЛН.1 Разработка, утверждение и актуализация плана мероприятий по обеспечению защиты информации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ПЛН.1 Разработка, утверждение и актуализация плана мероприятий по обеспечению защиты информации

Наверх

Обратно к XV. Планирование мероприятий по обеспечению безопасности (ПЛН)

ПЛН.2 Контроль выполнения мероприятий по обеспечению защиты информации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Возможности некоторых продуктов:

  • CL DATAPK - Контроль устранения уязвимостей и контроль соответствия требованиям ИБ. Реализация указанной меры включает в себя:
    • Выполнение сканирования защищенности объектов защиты – активное взаимодействие с объектами защиты с целью выявления уязвимостей и способов их эксплуатации. Данный режим работы целесообразно применять только в режиме технического обслуживания АСУ ТП;
    • Формирование отчетов по результатам сканирования ОЗ на уязвимости, включающие список выявленных уязвимостей и рекомендации по устранению выявленных уязвимостей;
    • Формирование отчетов по результатам проверки конфигураций ОЗ на соответствие требованиям ИБ, включающий список выявленных несоответствий.

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ПЛН.2 Контроль выполнения мероприятий по обеспечению защиты информации

Наверх

Обратно к XV. Планирование мероприятий по обеспечению безопасности (ПЛН)

XVI. Обеспечение действий в нештатных ситуациях (ДНС)

Наверх

XVII. Информирование и обучение персонала (ИПО)

Наверх