Рекомендации по выполнению требований по реализации мер из приказов ФСТЭК России №№ 17, 21, 31, 239.

ЗО КИИ (№239)   АСУ ТП (№31)   ПДн (№21)   ГИС (№17)

Раздел в стадии наполнения. По любым вопросам, предложениям и дополнениям можно обращаться через комментарии или лично.


Меры обеспечения безопасности значимого объекта

Установлены Приказом ФСТЭК России №239 от 25.12.2017 «Об утверждении Требований по обеспечению безопасности значимых объектов КИИ РФ».

Действующая на момент актуализации редакция:

I. Идентификация и аутентификация (ИАФ)

Наверх

ИАФ.0 Регламентация правил и процедур идентификации и аутентификации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Процедурное

Способ реализации: Организационные мероприятия -  разработка правил и процедур (политик) идентификации и аутентификации субъектов доступа и объектов доступа

Возможности некоторых продуктов:

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ИАФ.0

Наверх

Обратно к I. Идентификация и аутентификация (ИАФ)

ИАФ.1 Идентификация и аутентификация пользователей и инициируемых ими процессов

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Встроенные механизмы обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п. в части идентификации и аутентификации пользователей, являющихся работниками/сотрудниками субъекта КИИ.
  • возможные: СЗИ от НСД, система мониторинга

Возможности некоторых продуктов:

  • CL DATAPK - В части доступа к DATAPK, также может быть использован для автоматизированного контроля реализации требования.
  • Secret Net Studio 8.5 - Возможность входа пользователей в систему, как по логину/паролю, так и с использованием аппаратных средств усиленной аутентификации. Стандартная аутентификация, усиленная аутентификация по ключу, усиленная аутентификация по паролю
  • Secret Net Studio - C 8.5 - Возможность входа пользователей в систему, как по логину/паролю, так и с использованием аппаратных средств усиленной аутентификации. Стандартная аутентификация, усиленная аутентификация по ключу, усиленная аутентификация по паролю
  • Secret Net LSP 1.9 - Возможность входа пользователей в систему, как по логину/паролю, так и с использованием аппаратных средств усиленной аутентификации. Стандартная аутентификация, усиленная аутентификация по ключу, усиленная аутентификация по паролю
  • ПАК “Соболь” 3.0.9 (M2) - Идентификация и усиленная (двухфакторная) аутентификация пользователей с использованием персональных идентификаторов.
  • Соболь 4.2 - Идентификация и усиленная (двухфакторная) аутентификация пользователей с использованием персональных идентификаторов.
  • АПКШ Континент 3.7 - Аутентификация пользователей через “клиента аутентификации пользователя”.
  • Континент-АП + Сервер доступа 3.7 - Аутентификация на асимметричных ключах. Аутентификация до WinLogona.
  • vGate 4.0 - Идентификация/аутентификация пользователей, поддержка электронных идентификаторов.
  • InfoWatch Endpoint Security - Разграничение прав доступа пользователей к файлам
  • InfoWatch Person Monitor - Контроль инициируемых пользователями процессов
  • InfoWatch Traffic Monitor - Ограничение возможности использования устройств (модуль Device Monitor)
  • InfoWatch ARMA Industrial Firewall - Использование портала авторизации, идентификации устройств по IP-
и MAC-адресам

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — ИАФ.1
  • Приказ 21 — ИАФ.1
  • Приказ 31 — ИАФ.1

Наверх

Обратно к I. Идентификация и аутентификация (ИАФ)

ИАФ.2 Идентификация и аутентификация устройств

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Встроенные механизмы обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: СЗИ от НСД, система мониторинга, межсетевой экран

Возможности некоторых продуктов:

  • CL DATAPK - Идентификация устройств подключенных к сети:
    1. Обнаружение объектов защиты в режиме пассивного мониторинга трафика. Автоматическое назначение уникальных идентификаторов объектам защиты, определение сетевых параметров, полученных в режиме пассивного мониторинга – MAC-адреса и IP-адреса (при наличии). Автоматическое назначение новым объектам защиты наименования «Неизвестный объект защиты».
    2. Указание дополнительных идентификаторов для объектов защиты пользователем: наименования, типа объекта защиты. Возможность указания принадлежности к группам и присвоение меток. подключенных к объектам защиты. Включает в себя периодическое (заданное по расписанию) получение с объекта защиты информации о подключенных к нему устройствах и их уникальных идентификаторов с использованием активного сбора данных.
  • Secret Net Studio 8.5 - Идентификация компьютеров, съемных машинных носителей информации
  • Secret Net Studio - C 8.5 - Идентификация компьютеров, съемных машинных носителей информации
  • Secret Net LSP 1.9 - Идентификация съемных машинных носителей информации, компьютеров в совместном режиме с SNS

  • АПКШ Континент 3.7 - Криптографические метки: ID КШ, наличие ключа
  • Континент-АП + Сервер доступа 3.7 - Континент-АП аутентифицируется на конкретном устройсте - сервере доступа (использование сертификата СД).
  • vGate 4.0 - Аутентификация ESXi, vCenter, Hyper-V внешних серверов и АРМов
  • InfoWatch Endpoint Security - Ограничение возможности использования устройств

  • InfoWatch ARMA Industrial Firewall - В случае использования портала авторизации для внешних
по отношению к АСУ пользователей возможно управление идентификаторами

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — ИАФ.2
  • Приказ 21 — ИАФ.2
  • Приказ 31 — ИАФ.2

Наверх

Обратно к I. Идентификация и аутентификация (ИАФ)

ИАФ.3 Управление идентификаторами

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Встроенные механизмы обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п. — управление идентификаторами пользователей или служебными идентификаторами субъектов доступа (процессов, устройств).
  • возможные: СЗИ от НСД, системы управления учётными данными и доступом (IAM), межсетевые экраны (МЭ, FW)

Возможности некоторых продуктов:

  • CL DATAPK - DATAPK позволяет создавать, присваивать, изменять или уничтожать идентификаторы рабочих мест, серверов, программируемых логических контроллеров и другим узлам сети АСУ ТП, обнаруженным в ходе инвентаризации.
  • Secret Net Studio 8.5 - Управление учетными записями, присвоение аппаратных средств аутентификации
  • Secret Net Studio - C 8.5 - Управление учетными записями, присвоение аппаратных средств аутентификации
  • Secret Net LSP 1.9 - Управление учетными записями, присвоение аппаратных средств аутентификации
  • ПАК “Соболь” 3.0.9 (M2) - Администратор управляет идентификаторами. Реализовано присвоение идентификатора пользователю, удаление идентификатора у пользователя, форматирование идентификаторов.
  • Соболь 4.2 - Администратор управляет идентификаторами. Реализовано присвоение идентификатора пользователю, удаление идентификатора у пользователя, форматирование идентификаторов.
  • АПКШ Континент 3.7 - ЦУС - управление КШ (создание КШ, удаление КШ, присвоение ID)
  • Континент-АП + Сервер доступа 3.7 - Управление учетными записями на СД. Идентификатор-имя учетной записи.
  • vGate 4.0 - Управление пользователями и электронными идентификаторами (eToken PRO, eToken PRO Java (USB, смарт-карта), JaCarta).

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — ИАФ.3
  • Приказ 21 — ИАФ.3
  • Приказ 31 — ИАФ.3

Наверх

Обратно к I. Идентификация и аутентификация (ИАФ)

ИАФ.4 Управление средствами аутентификации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Управление средствами аутентификации осуществляется с помощью встроенных механизмов обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: Службы каталога, системы управления жизненным циклом сертификатов открытого ключа, СЗИ от НСД

Возможности некоторых продуктов:

  • CL DATAPK - Реализовано в части доступа к DATAPK.
  • Secret Net Studio 8.5 - Управление паролями, назначение аппаратных средств аутентификации. Интеграция с JaCarta Management System. Есть утилита генерации случайных паролей - с использованием ДСЧ ПАК “Соболь”
  • Secret Net Studio - C 8.5 - Управление паролями, назначение аппаратных средств аутентификации. Интеграция с JaCarta Management System. Есть утилита генерации случайных паролей - с использованием ДСЧ ПАК “Соболь”
  • Secret Net LSP 1.9 - Управление паролями, назначение аппаратных средств аутентификации. Есть утилита генерации случайных паролей - с использованием ДСЧ ПАК “Соболь”
  • ПАК “Соболь” 3.0.9 (M2) - 1) Кроме идентификатора при аутентификации в Соболе используется специальный ключ (аутентификатор) и пароль. 2) Реализован генератор пароля при регистрации и смене пароля Администратора/пользователя. 3) Реализована проверка стойкости пароля 4) Есть возможность смены ключа и пароля. Реализован режим их устаревания.
  • Соболь 4.2 - 1) Кроме идентификатора при аутентификации в Соболе используется специальный ключ (аутентификатор) и пароль. 2) Реализован генератор пароля при регистрации и смене пароля Администратора/пользователя. 3) Реализована проверка стойкости пароля 4) Есть возможность смены ключа и пароля. Реализован режим их устаревания.
  • АПКШ Континент 3.7 - АРМ ГК-работа с носителями и ключами ЦУС- криптографическая аутентификация КШ
  • Континент-АП + Сервер доступа 3.7 - Работа с ключами, сертификат и закрытый ключ отзыв сертификата.
  • vGate 4.0 - В рамках поддержки электронных идентификаторов.

  • InfoWatch Traffic Monitor - Поддержка протоколов LDAP/OpenLDAP
  • InfoWatch ARMA Industrial Firewall - Может применятся

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — ИАФ.4
  • Приказ 21 — ИАФ.4
  • Приказ 31 — ИАФ.4

Наверх

Обратно к I. Идентификация и аутентификация (ИАФ)

ИАФ.5 Идентификация и аутентификация внешних пользователей

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: Системы управления учётными данными и доступом (IAM)

Возможности некоторых продуктов:

  • CL DATAPK - В случае, если реализация требования зависит от настроек системного или прикладного программного обеспечения, DATAPK может использоваться для автоматизации контроля его выполнения, также реализовано в части доступа к DATAPK

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — ИАФ.6
  • Приказ 21 — ИАФ.6
  • Приказ 31 — ИАФ.5

Наверх

Обратно к I. Идентификация и аутентификация (ИАФ)

ИАФ.6 Двусторонняя аутентификация

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Встроенные механизмы обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: Системы управления учётными данными и доступом (IAM)

Возможности некоторых продуктов:

  • CL DATAPK - В случае, если реализация требования зависит от настроек системного или прикладного программного обеспечения, DATAPK может использоваться для автоматизации контроля его выполнения, также реализовано в части доступа к DATAPK
  • Secret Net Studio 8.5 - Межсетевой экран, авторизация соединений
  • Secret Net Studio - C 8.5 - Межсетевой экран, авторизация соединений

  • АПКШ Континент 3.7 - Межсетевой экран, авторизация соединений
  • Континент-АП + Сервер доступа 3.7 - Межсетевой экран, авторизация соединений
  • vGate 4.0 - Двусторонняя аутентификация клиентов и СА
  • InfoWatch Endpoint Security - Шифрование

  • InfoWatch ARMA Industrial Firewall - Может применятся

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ИАФ.6

Наверх

Обратно к I. Идентификация и аутентификация (ИАФ)

ИАФ.7 Защита аутентификационной информации при передаче

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: Системы управления учётными данными и доступом (IAM)

Возможности некоторых продуктов:

  • CL DATAPK - В случае, если реализация требования зависит от настроек системного или прикладного программного обеспечения, DATAPK может использоваться для автоматизации контроля его выполнения, также реализовано в части доступа к DATAPK.
  • Secret Net Studio 8.5 - Сокрытие вводимой парольной информации и информации для доступа к памяти ЭИ. Защита от перехвата пароля при сетевых обращениях
  • Secret Net Studio - C 8.5 - Сокрытие вводимой парольной информации и информации для доступа к памяти ЭИ. Защита от перехвата пароля при сетевых обращениях
  • Secret Net LSP 1.9 - Сокрытие вводимой парольной информации и информации для доступа к памяти ЭИ.
  • ПАК “Соболь” 3.0.9 (M2) - Сокрытие вводимой парольной информации. Полный контроль над USB-интерфейсом (для USB-идентификаторов) и выделенный канал передачи данных для iButton
  • Соболь 4.2 - Сокрытие вводимой парольной информации. Полный контроль над USB-интерфейсом (для USB-идентификаторов) и выделенный канал передачи данных для iButton
  • АПКШ Континент 3.7 - Шифрованный канал
  • Континент-АП + Сервер доступа 3.7 - Шифрованный канал Сокрытие вводимой парольной информации.
  • vGate 4.0 - Сокрытие вводимой парольной информации, защита от перехвата вводимого пароля, кодированный канал при сетевой аутентификации

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ИАФ.7

Наверх

Обратно к I. Идентификация и аутентификация (ИАФ)

II. Управление доступом (УПД)

Наверх

УПД.0 Регламентация правил и процедур управления доступом

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Процедурное

Способ реализации: Организационные мероприятия -  разработка правил и процедур (политик) управления доступом

Возможности некоторых продуктов:

Аналоги в других приказах ФСТЭК России:

Наверх

Обратно к II. Управление доступом (УПД)

УПД.1 Управление учетными записями пользователей

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования:

Способ реализации: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.

Возможности некоторых продуктов:

Аналоги в других приказах ФСТЭК России:

Наверх

Обратно к II. Управление доступом (УПД)

УПД.2 Реализация модели управления доступом

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования:

Способы реализации:

  • рекомендуемые: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: Рекомендуется конкретизировать требования по методам разграничения доступа для разработчика АСУ ТП, так как это накладывает дополнительные требования на используемое базовое ПО (SCADA) и на сам код проекта. На практике востребована только ролевая модель управления доступом, с разграничением доступа на уровне функций АСУ ТП.

Возможности некоторых продуктов:

Аналоги в других приказах ФСТЭК России:

Наверх

Обратно к II. Управление доступом (УПД)

УПД.3 Доверенная загрузка

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + +  

Тип требования:

Способ реализации:

Возможности некоторых продуктов:

Аналоги в других приказах ФСТЭК России:

Наверх

Обратно к II. Управление доступом (УПД)

УПД.4 Разделение полномочий (ролей) пользователей

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования:

Способ реализации:

Возможности некоторых продуктов:

Аналоги в других приказах ФСТЭК России:

Наверх

Обратно к II. Управление доступом (УПД)

УПД.5 Назначение минимально необходимых прав и привилегий

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования:

Способ реализации:

Возможности некоторых продуктов:

Аналоги в других приказах ФСТЭК России:

Наверх

Обратно к II. Управление доступом (УПД)

УПД.6 Ограничение неуспешных попыток доступа в информационную (автоматизированную) систему

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования:

Способ реализации:

Возможности некоторых продуктов:

Аналоги в других приказах ФСТЭК России:

Наверх

Обратно к II. Управление доступом (УПД)

УПД.7 Предупреждение пользователя при его доступе к информационным ресурсам

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Тип требования:

Способ реализации:

Возможности некоторых продуктов:

Аналоги в других приказах ФСТЭК России:

Наверх

Обратно к II. Управление доступом (УПД)

УПД.8 Оповещение пользователя при успешном входе о предыдущем доступе к информационной (автоматизированной) системе

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Тип требования:

Способ реализации:

Возможности некоторых продуктов:

Аналоги в других приказах ФСТЭК России:

Наверх

Обратно к II. Управление доступом (УПД)

УПД.9 Ограничение числа параллельных сеансов доступа

Категория значимости 1 2 3
Наличие требования в Базовом набор мер +    

Тип требования:

Способ реализации:

Возможности некоторых продуктов:

Аналоги в других приказах ФСТЭК России:

Наверх

Обратно к II. Управление доступом (УПД)

УПД.10 Блокирование сеанса доступа пользователя при неактивности

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования:

Способ реализации:

Возможности некоторых продуктов:

Аналоги в других приказах ФСТЭК России:

Наверх

Обратно к II. Управление доступом (УПД)

УПД.11 Управление действиями пользователей до идентификации и аутентификации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования:

Способ реализации:

Возможности некоторых продуктов:

Аналоги в других приказах ФСТЭК России:

Наверх

Обратно к II. Управление доступом (УПД)

УПД.12 Управление атрибутами безопасности

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Тип требования:

Способ реализации:

Возможности некоторых продуктов:

Аналоги в других приказах ФСТЭК России:

Наверх

Обратно к II. Управление доступом (УПД)

УПД.13 Реализация защищенного удаленного доступа

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования:

Способ реализации:

Возможности некоторых продуктов:

Аналоги в других приказах ФСТЭК России:

Наверх

Обратно к II. Управление доступом (УПД)

УПД.14 Контроль доступа из внешних информационных (автоматизированных) систем

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования:

Способ реализации:

Возможности некоторых продуктов:

  • CL DATAPK - Выявление и контроль (проверка/учет) информационных потоков по сетевым реквизитам источников и получателей, а также протоколу и данным пакетов. Осуществляется контроль информационных потоков, для которых источник или получатель находится за пределами защищаемой АСУ ТП

Аналоги в других приказах ФСТЭК России:

Наверх

Обратно к II. Управление доступом (УПД)

III. Ограничение программной среды (ОПС)

Наверх

ОПС.0 Регламентация правил и процедур ограничения программной среды

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + +  

Тип требования:

Способ реализации:

Возможности некоторых продуктов:

Аналоги в других приказах ФСТЭК России:

Наверх

Обратно к III. Ограничение программной среды (ОПС)

ОПС.1 Управление запуском (обращениями) компонентов программного обеспечения

Категория значимости 1 2 3
Наличие требования в Базовом набор мер +    

Тип требования:

Способ реализации:

Возможности некоторых продуктов:

  • CL DATAPK - Управление реализуется путем:
    • Идентификации запущенных компонентов программного обеспечения по имени, пути исполняемого файла, пользователю, запустившему процесс и другим атрибутам.
    • Периодического контроля перечня запущенных компонентов программного обеспечения с выявлением фактов их запуска и останова.
    • Определения легитимности факта запуска компонентов программного обеспечения путем сравнения перечня запущенных процессов с перечнем разрешенных процессов (эталонная конфигурация) и выявления отклонения от разрешенных значений.
    • Реагирования силами оператора / ответственного лица на факт выявления инцидента ИБ

Аналоги в других приказах ФСТЭК России:

Наверх

Обратно к III. Ограничение программной среды (ОПС)

ОПС.2 Управление установкой (инсталляцией) компонентов программного обеспечения

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + +  

Тип требования:

Способ реализации:

Возможности некоторых продуктов:

  • CL DATAPK - Управление реализуется путем:
    • Идентификации установленных компонентов программного обеспечения по имени, пути, версии и другим атрибутам.
    • Периодического контроля перечня установленных компонентов программного обеспечения с выявлением фактов их запуска и останова.
    • Определения легитимности факта наличия установленных компонентов программного обеспечения путем сравнения их перечня с перечнем разрешенных процессов (эталонная конфигурация) и выявления отклонения от разрешенных значений.
    • Реагирования силами оператора / ответственного лица на факт выявления инцидента ИБ

Аналоги в других приказах ФСТЭК России:

Наверх

Обратно к III. Ограничение программной среды (ОПС)

ОПС.3 Управление временными файлами

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Тип требования:

Способ реализации:

Возможности некоторых продуктов:

Аналоги в других приказах ФСТЭК России:

Наверх

Обратно к III. Ограничение программной среды (ОПС)