Рекомендации по выполнению требований по реализации мер из приказов ФСТЭК России №№ 17, 21, 31, 239. Раздел в стадии наполнения. По любым вопросам, предложениям и дополнениям можно обращаться через комментарии или лично.


ЗО КИИ (Приказ №239)АСУ ТП (Приказ №31)ПДн (Приказ №21)ГИС (Приказ №17)


Меры обеспечения безопасности значимого объекта

Установлены Приказом ФСТЭК России №239 от 25.12.2017 «Об утверждении Требований по обеспечению безопасности значимых объектов КИИ РФ».

Действующая на момент актуализации редакция:

I. Идентификация и аутентификация (ИАФ)

Наверх

ИАФ.0 Регламентация правил и процедур идентификации и аутентификации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Процедурное

Способ реализации: Организационные мероприятия -  разработка правил и процедур (политик) идентификации и аутентификации субъектов доступа и объектов доступа. Реализуется путём выполнения положений внутренних документов.

Возможности некоторых продуктов:

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ИАФ.0

Наверх

Обратно к I. Идентификация и аутентификация (ИАФ)

ИАФ.1 Идентификация и аутентификация пользователей и инициируемых ими процессов

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Встроенные механизмы обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п. в части идентификации и аутентификации пользователей, являющихся работниками/сотрудниками субъекта КИИ.
  • возможные: СЗИ от НСД, система мониторинга

Возможности некоторых продуктов:

  • CL DATAPK - В части доступа к DATAPK, также может быть использован для автоматизированного контроля реализации требования.
  • Secret Net Studio 8.5 - Возможность входа пользователей в систему, как по логину/паролю, так и с использованием аппаратных средств усиленной аутентификации. Стандартная аутентификация, усиленная аутентификация по ключу, усиленная аутентификация по паролю
  • Secret Net Studio - C 8.5 - Возможность входа пользователей в систему, как по логину/паролю, так и с использованием аппаратных средств усиленной аутентификации. Стандартная аутентификация, усиленная аутентификация по ключу, усиленная аутентификация по паролю
  • Secret Net LSP 1.9 - Возможность входа пользователей в систему, как по логину/паролю, так и с использованием аппаратных средств усиленной аутентификации. Стандартная аутентификация, усиленная аутентификация по ключу, усиленная аутентификация по паролю
  • ПАК “Соболь” 3.0.9 (M2) - Идентификация и усиленная (двухфакторная) аутентификация пользователей с использованием персональных идентификаторов.
  • Соболь 4.2 - Идентификация и усиленная (двухфакторная) аутентификация пользователей с использованием персональных идентификаторов.
  • АПКШ Континент 3.7 - Аутентификация пользователей через “клиента аутентификации пользователя”.
  • Континент-АП + Сервер доступа 3.7 - Аутентификация на асимметричных ключах. Аутентификация до WinLogona.
  • vGate 4.0 - Идентификация/аутентификация пользователей, поддержка электронных идентификаторов.
  • InfoWatch Endpoint Security - Разграничение прав доступа пользователей к файлам
  • InfoWatch Person Monitor - Контроль инициируемых пользователями процессов
  • InfoWatch Traffic Monitor - Ограничение возможности использования устройств (модуль Device Monitor)
  • InfoWatch ARMA Industrial Firewall - Использование портала авторизации, идентификации устройств по IP-
и MAC-адресам

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — ИАФ.1
  • Приказ 21 — ИАФ.1
  • Приказ 31 — ИАФ.1

Наверх

Обратно к I. Идентификация и аутентификация (ИАФ)

ИАФ.2 Идентификация и аутентификация устройств

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Встроенные механизмы обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: СЗИ от НСД, система мониторинга, межсетевой экран

Возможности некоторых продуктов:

  • CL DATAPK - Идентификация устройств подключенных к сети:
    1. Обнаружение объектов защиты в режиме пассивного мониторинга трафика. Автоматическое назначение уникальных идентификаторов объектам защиты, определение сетевых параметров, полученных в режиме пассивного мониторинга – MAC-адреса и IP-адреса (при наличии). Автоматическое назначение новым объектам защиты наименования «Неизвестный объект защиты».
    2. Указание дополнительных идентификаторов для объектов защиты пользователем: наименования, типа объекта защиты. Возможность указания принадлежности к группам и присвоение меток. Идентификация устройств подключенных к объектам защиты включает в себя периодическое (заданное по расписанию) получение с объекта защиты информации о подключенных к нему устройствах и их уникальных идентификаторов с использованием активного сбора данных.
  • Secret Net Studio 8.5 - Идентификация компьютеров, съемных машинных носителей информации
  • Secret Net Studio - C 8.5 - Идентификация компьютеров, съемных машинных носителей информации
  • Secret Net LSP 1.9 - Идентификация съемных машинных носителей информации, компьютеров в совместном режиме с SNS

  • АПКШ Континент 3.7 - Криптографические метки: ID КШ, наличие ключа
  • Континент-АП + Сервер доступа 3.7 - Континент-АП аутентифицируется на конкретном устройсте - сервере доступа (использование сертификата СД).
  • vGate 4.0 - Аутентификация ESXi, vCenter, Hyper-V внешних серверов и АРМов
  • InfoWatch Endpoint Security - Ограничение возможности использования устройств

  • InfoWatch ARMA Industrial Firewall - В случае использования портала авторизации для внешних
по отношению к АСУ пользователей возможно управление идентификаторами

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — ИАФ.2
  • Приказ 21 — ИАФ.2
  • Приказ 31 — ИАФ.2

Наверх

Обратно к I. Идентификация и аутентификация (ИАФ)

ИАФ.3 Управление идентификаторами

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Встроенные механизмы обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п. — управление идентификаторами пользователей или служебными идентификаторами субъектов доступа (процессов, устройств).
  • возможные: СЗИ от НСД, системы управления учётными данными и доступом (IAM), межсетевые экраны (МЭ, FW)

Возможности некоторых продуктов:

  • CL DATAPK - DATAPK позволяет создавать, присваивать, изменять или уничтожать идентификаторы рабочих мест, серверов, программируемых логических контроллеров и другим узлам сети АСУ ТП, обнаруженным в ходе инвентаризации.
  • Secret Net Studio 8.5 - Управление учетными записями, присвоение аппаратных средств аутентификации
  • Secret Net Studio - C 8.5 - Управление учетными записями, присвоение аппаратных средств аутентификации
  • Secret Net LSP 1.9 - Управление учетными записями, присвоение аппаратных средств аутентификации
  • ПАК “Соболь” 3.0.9 (M2) - Администратор управляет идентификаторами. Реализовано присвоение идентификатора пользователю, удаление идентификатора у пользователя, форматирование идентификаторов.
  • Соболь 4.2 - Администратор управляет идентификаторами. Реализовано присвоение идентификатора пользователю, удаление идентификатора у пользователя, форматирование идентификаторов.
  • АПКШ Континент 3.7 - ЦУС - управление КШ (создание КШ, удаление КШ, присвоение ID)
  • Континент-АП + Сервер доступа 3.7 - Управление учетными записями на СД. Идентификатор-имя учетной записи.
  • vGate 4.0 - Управление пользователями и электронными идентификаторами (eToken PRO, eToken PRO Java (USB, смарт-карта), JaCarta).

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — ИАФ.3
  • Приказ 21 — ИАФ.3
  • Приказ 31 — ИАФ.3

Наверх

Обратно к I. Идентификация и аутентификация (ИАФ)

ИАФ.4 Управление средствами аутентификации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Управление средствами аутентификации осуществляется с помощью встроенных механизмов обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: Службы каталога, системы управления жизненным циклом сертификатов открытого ключа, СЗИ от НСД

Возможности некоторых продуктов:

  • CL DATAPK - Реализовано в части доступа к DATAPK.
  • Secret Net Studio 8.5 - Управление паролями, назначение аппаратных средств аутентификации. Интеграция с JaCarta Management System. Есть утилита генерации случайных паролей - с использованием ДСЧ ПАК “Соболь”
  • Secret Net Studio - C 8.5 - Управление паролями, назначение аппаратных средств аутентификации. Интеграция с JaCarta Management System. Есть утилита генерации случайных паролей - с использованием ДСЧ ПАК “Соболь”
  • Secret Net LSP 1.9 - Управление паролями, назначение аппаратных средств аутентификации. Есть утилита генерации случайных паролей - с использованием ДСЧ ПАК “Соболь”
  • ПАК “Соболь” 3.0.9 (M2) - 1) Кроме идентификатора при аутентификации в Соболе используется специальный ключ (аутентификатор) и пароль. 2) Реализован генератор пароля при регистрации и смене пароля Администратора/пользователя. 3) Реализована проверка стойкости пароля 4) Есть возможность смены ключа и пароля. Реализован режим их устаревания.
  • Соболь 4.2 - 1) Кроме идентификатора при аутентификации в Соболе используется специальный ключ (аутентификатор) и пароль. 2) Реализован генератор пароля при регистрации и смене пароля Администратора/пользователя. 3) Реализована проверка стойкости пароля 4) Есть возможность смены ключа и пароля. Реализован режим их устаревания.
  • АПКШ Континент 3.7 - АРМ ГК-работа с носителями и ключами ЦУС- криптографическая аутентификация КШ
  • Континент-АП + Сервер доступа 3.7 - Работа с ключами, сертификат и закрытый ключ отзыв сертификата.
  • vGate 4.0 - В рамках поддержки электронных идентификаторов.

  • InfoWatch Traffic Monitor - Поддержка протоколов LDAP/OpenLDAP
  • InfoWatch ARMA Industrial Firewall - Может применятся

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — ИАФ.4
  • Приказ 21 — ИАФ.4
  • Приказ 31 — ИАФ.4

Наверх

Обратно к I. Идентификация и аутентификация (ИАФ)

ИАФ.5 Идентификация и аутентификация внешних пользователей

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: Системы управления учётными данными и доступом (IAM)

Возможности некоторых продуктов:

  • CL DATAPK - В случае, если реализация требования зависит от настроек системного или прикладного программного обеспечения, DATAPK может использоваться для автоматизации контроля его выполнения, также реализовано в части доступа к DATAPK

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — ИАФ.6
  • Приказ 21 — ИАФ.6
  • Приказ 31 — ИАФ.5

Наверх

Обратно к I. Идентификация и аутентификация (ИАФ)

ИАФ.6 Двусторонняя аутентификация

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Встроенные механизмы обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: Системы управления учётными данными и доступом (IAM)

Возможности некоторых продуктов:

  • CL DATAPK - В случае, если реализация требования зависит от настроек системного или прикладного программного обеспечения, DATAPK может использоваться для автоматизации контроля его выполнения, также реализовано в части доступа к DATAPK
  • Secret Net Studio 8.5 - Межсетевой экран, авторизация соединений
  • Secret Net Studio - C 8.5 - Межсетевой экран, авторизация соединений

  • АПКШ Континент 3.7 - Межсетевой экран, авторизация соединений
  • Континент-АП + Сервер доступа 3.7 - Межсетевой экран, авторизация соединений
  • vGate 4.0 - Двусторонняя аутентификация клиентов и СА
  • InfoWatch Endpoint Security - Шифрование

  • InfoWatch ARMA Industrial Firewall - Может применятся

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ИАФ.6

Наверх

Обратно к I. Идентификация и аутентификация (ИАФ)

ИАФ.7 Защита аутентификационной информации при передаче

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: Системы управления учётными данными и доступом (IAM)

Возможности некоторых продуктов:

  • CL DATAPK - В случае, если реализация требования зависит от настроек системного или прикладного программного обеспечения, DATAPK может использоваться для автоматизации контроля его выполнения, также реализовано в части доступа к DATAPK.
  • Secret Net Studio 8.5 - Сокрытие вводимой парольной информации и информации для доступа к памяти ЭИ. Защита от перехвата пароля при сетевых обращениях
  • Secret Net Studio - C 8.5 - Сокрытие вводимой парольной информации и информации для доступа к памяти ЭИ. Защита от перехвата пароля при сетевых обращениях
  • Secret Net LSP 1.9 - Сокрытие вводимой парольной информации и информации для доступа к памяти ЭИ.
  • ПАК “Соболь” 3.0.9 (M2) - Сокрытие вводимой парольной информации. Полный контроль над USB-интерфейсом (для USB-идентификаторов) и выделенный канал передачи данных для iButton
  • Соболь 4.2 - Сокрытие вводимой парольной информации. Полный контроль над USB-интерфейсом (для USB-идентификаторов) и выделенный канал передачи данных для iButton
  • АПКШ Континент 3.7 - Шифрованный канал
  • Континент-АП + Сервер доступа 3.7 - Шифрованный канал Сокрытие вводимой парольной информации.
  • vGate 4.0 - Сокрытие вводимой парольной информации, защита от перехвата вводимого пароля, кодированный канал при сетевой аутентификации

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — ИАФ.7

Наверх

Обратно к I. Идентификация и аутентификация (ИАФ)

II. Управление доступом (УПД)

Наверх

УПД.0 Регламентация правил и процедур управления доступом

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Процедурное

Способ реализации: Организационные мероприятия -  разработка правил и процедур (политик) управления доступом. Реализуется путём выполнения положений внутренних документов.

Возможности некоторых продуктов:

Аналоги в других приказах ФСТЭК России:

  • Приказ 31 — УПД.0

Наверх

Обратно к II. Управление доступом (УПД)

УПД.1 Управление учетными записями пользователей

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способ реализации: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Управление учетными записями в программе управления пользователями SNS
  • Secret Net Studio - C 8.5 - Управление учетными записями в программе управления пользователями SNS
  • Secret Net LSP 1.9 - Управление пользователями: добавление/удаление пользователей; изменение атрибутов пользователей; добавление/удаление группы пользователей; изменение атрибутов групп; включение/исключение пользователей из группы; задание/изменение паролей и атрибутов паролей пользователей; изменение настроек по умолчанию для паролей новых пользователей; блокировка и разблокировка учетных записей пользователей.
  • ПАК “Соболь” 3.0.9 (M2) - 1) Управление учетными записями ПАК “Соболь” (Администратор, пользователи, AUTOLOAD) - создание, удаление, управление параметрами, блокировка, активация 2) При совместной работе с Secret Net в Соболь могут синхронизироваться пользователи из Windows и домена.
  • Соболь 4.2 - 1) Управление учетными записями ПАК “Соболь” (Администратор, пользователи, AUTOLOAD) - создание, удаление, управление параметрами, блокировка, активация 2) При совместной работе с Secret Net в Соболь могут синхронизироваться пользователи из Windows и домена.
  • АПКШ Континент 3.7 - Управление учетными записями пользователей и групп пользователей на ЦУС.
  • Континент-АП + Сервер доступа 3.7 - В 3.7 появились роли в АП: администратор, пользователь. Работа с учетными записями в ПУ СД.
  • vGate 4.0 - Управление пользователями, создание, удаление, изменение привелегий, блокирование

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — УПД.1
  • Приказ 21 — УПД.1
  • Приказ 31 — УПД.1

Наверх

Обратно к II. Управление доступом (УПД)

УПД.2 Реализация модели управления доступом

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: Рекомендуется конкретизировать требования по методам разграничения доступа для разработчика АСУ ТП, так как это накладывает дополнительные требования на используемое базовое ПО (SCADA) и на сам код проекта. На практике востребована только ролевая модель управления доступом, с разграничением доступа на уровне функций АСУ ТП.

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Дискреционный метод разграничения доступа к объектам ФС, устройствам компьютера (usb, физические диски, принтеры, сетевые интерфейсы). Мандатный метод разграничения доступа к объектам ФС, устройствам (usb, диски, принтеры, сетевые интерфейсы)
  • Secret Net Studio - C 8.5 - Дискреционный метод разграничения доступа к объектам ФС, устройствам компьютера (usb, физические диски, принтеры, сетевые интерфейсы). Мандатный метод разграничения доступа к объектам ФС, устройствам (usb, диски, принтеры, сетевые интерфейсы)
  • Secret Net LSP 1.9 - Дискреционный метод разграничения доступа к объектам ФС, к шинам USB, SATA, IEEE 1394 и подключаемым к ним устройствам
  • ПАК “Соболь” 3.0.9 (M2) - Разграничение полномочий администратора/оператора ПАК “Соболь”. Доступ к информации никак не разграничивается.
  • Соболь 4.2 - Разграничение полномочий администратора/оператора ПАК “Соболь”. Доступ к информации никак не разграничивается.
  • АПКШ Континент 3.7 - Предоставление доступа к сетевым ресурсам для групп пользователей.
  • Континент-АП + Сервер доступа 3.7 - В 3.7 - ролевой метод для КС3.
  • vGate 4.0 - Мандатные правила доступа (иерархческие и неиерархические) в отношении объектов ВИ. Дискреционное разграничение досутпа к серверам виртуализации и серверам управления виртуализацией

  • InfoWatch ARMA Industrial Firewall - Портал авторизации позволяет настраивать параметры доступа пользователей к ресурсам

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — УПД.2
  • Приказ 21 — УПД.2
  • Приказ 31 — УПД.2

Наверх

Обратно к II. Управление доступом (УПД)

УПД.3 Доверенная загрузка

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + +  

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Требование реализуется вешними средствами защиты информации.
  • возможные: Требование может быть реализовано с применением средств доверенной загрузки (СДЗ) для автоматизированных рабочих мест/серверов и специализированным средствами для доверенной загрузки компонентов среды виртуализации.

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Интеграция с ПАК “Соболь”, ЦУ ПАК “Соболь”. Компенсирующая мера - модуль Защита диска
  • Secret Net Studio - C 8.5 - Интеграция с ПАК “Соболь”, ЦУ ПАК “Соболь”. Компенсирующая мера - модуль Защита диска
  • Secret Net LSP 1.9 - Интеграция с ПАК “Соболь”
  • ПАК “Соболь” 3.0.9 (M2) - Доверенная загрузка до загрузки ОС. Без аутентификации пользователя с предъявлением идентификатора доступ к ресурсам СВТ не предоставляется. Механизм сторожевого таймера + ДСЧ.
  • Соболь 4.2 - Доверенная загрузка до загрузки ОС. Без аутентификации пользователя с предъявлением идентификатора доступ к ресурсам СВТ не предоставляется. Механизм сторожевого таймера + ДСЧ.
  • АПКШ Континент 3.7 - Встроенный ПАК “Соболь”
  • Континент-АП + Сервер доступа 3.7 - Встроенный ПАК “Соболь”
  • vGate 4.0 - Доверенная загрузка ВМ
  • InfoWatch Endpoint Security - В будущем

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — УПД.17
  • Приказ 21 — УПД.17
  • Приказ 31 — УПД.3

Наверх

Обратно к II. Управление доступом (УПД)

УПД.4 Разделение полномочий (ролей) пользователей

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способ реализации: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Права доступа/группы пользователей, администраторов, защита от локального администратора
  • Secret Net Studio - C 8.5 - Права доступа/группы пользователей, администраторов, защита от локального администратора
  • Secret Net LSP 1.9 - Права доступа/группы пользователей, администраторов
  • ПАК “Соболь” 3.0.9 (M2) - Обязанности администратора и пользователя ПАК “Соболь”. Пользователи по категориям не разделяются. Для определенных пользователей можно задавать возможность загрузки с нештатных носителей и мягкую реакцию на нарушения при контроле целостности.
  • Соболь 4.2 - Обязанности администратора и пользователя ПАК “Соболь”. Пользователи по категориям не разделяются. Для определенных пользователей можно задавать возможность загрузки с нештатных носителей и мягкую реакцию на нарушения при контроле целостности.
  • АПКШ Континент 3.7 - Роли учетных записей, ПУ ЦУС
  • Континент-АП + Сервер доступа 3.7 - В 3.7 появились роли в АП: администратор, пользователь.
  • vGate 4.0 - Выделенные роли АБИ и АВИ, которые в свою очередь имеют дополнительное разделение на роли
  • InfoWatch Endpoint Security - Разграничение прав доступа пользователей к файлам

  • InfoWatch Traffic Monitor - Разграничение прав доступа пользователей к файлам (модуль Device Monitor)

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — УПД.4
  • Приказ 21 — УПД.4
  • Приказ 31 — УПД.4

Наверх

Обратно к II. Управление доступом (УПД)

УПД.5 Назначение минимально необходимых прав и привилегий

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Процедурное

Способы реализации:

  • рекомендуемые: Организационные меры.
  • возможные: Как правило, информацией, необходимой для разработки матрицы доступа, обладает проектировщик АСУ ТП, как следствие наиболее простой способ реализации требования – обязывать проектировщика разрабатывать матрицу доступа в составе проектной документации на АСУ ТП.

Возможности некоторых продуктов:

  • InfoWatch Endpoint Security - Разграничение уровня доступа

  • InfoWatch Traffic Monitor - Разграничение уровня доступа (модуль Device Monitor)

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — УПД.5
  • Приказ 21 — УПД.5
  • Приказ 31 — УПД.5

Наверх

Обратно к II. Управление доступом (УПД)

УПД.6 Ограничение неуспешных попыток доступа в информационную (автоматизированную) систему

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: Как правило, подобное требование реализуется ограниченно (только для административных интерфейсов), так как ограничения доступа в оперативном режиме могут создать риски для нормального протекания технологического процесса.

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Задается количество неудачных попыток аутентификации, после чего компьютер будет блокирован
  • Secret Net Studio - C 8.5 - Задается количество неудачных попыток аутентификации, после чего компьютер будет блокирован
  • Secret Net LSP 1.9 - Ограничение количества неудачных попыток аутентификации - блокировка учетной записи
  • ПАК “Соболь” 3.0.9 (M2) - Блокировка при достижении максимально возможного значения попыток входа
  • Соболь 4.2 - Блокировка при достижении максимально возможного значения попыток входа
  • АПКШ Континент 3.7 - Средствами ПАК “Соболь”
  • Континент-АП + Сервер доступа 3.7 - Средствами ПАК “Соболь” Средствами КриптоПро
  • vGate 4.0 - Возможность задания количества неуспешных попыток входа, после чего учетная запись блокируется

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — УПД.6
  • Приказ 21 — УПД.6
  • Приказ 31 — УПД.6

Наверх

Обратно к II. Управление доступом (УПД)

УПД.7 Предупреждение пользователя при его доступе к информационным ресурсам

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Тип требования: Функциональное

Способ реализации: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Предупреждение пользователя о мерах защиты информации до входа в систему
  • Secret Net Studio - C 8.5 - Предупреждение пользователя о мерах защиты информации до входа в систему
  • Secret Net LSP 1.9 - экран идентификации + заставка
  • ПАК “Соболь” 3.0.9 (M2) - Есть заставка Соболь + экран идентификации
  • Соболь 4.2 - Есть заставка Соболь + экран идентификации

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — УПД.7
  • Приказ 21 — УПД.7
  • Приказ 31 — УПД.7

Наверх

Обратно к II. Управление доступом (УПД)

УПД.8 Оповещение пользователя при успешном входе о предыдущем доступе к информационной (автоматизированной) системе

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Тип требования: Функциональное

Способ реализации: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Политика “Оповещение пользователя о последнем успешном входе в систему”
  • Secret Net Studio - C 8.5 - Политика “Оповещение пользователя о последнем успешном входе в систему”

  • ПАК “Соболь” 3.0.9 (M2) - Время(часы:минуты) и дата(день/месяц/год) тех моментов времени, когда был выполнен ваш вход в систему в текущеми в предыдущем сеансе работы на компьютере соответственно. Время и дата фиксируются в моментнажатия при вводе пароля
  • Соболь 4.2 - Время(часы:минуты) и дата(день/месяц/год) тех моментов времени, когда был выполнен ваш вход в систему в текущеми в предыдущем сеансе работы на компьютере соответственно. Время и дата фиксируются в моментнажатия при вводе пароля

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — УПД.8
  • Приказ 21 — УПД.8
  • Приказ 31 — УПД.8

Наверх

Обратно к II. Управление доступом (УПД)

УПД.9 Ограничение числа параллельных сеансов доступа

Категория значимости 1 2 3
Наличие требования в Базовом набор мер +    

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: Требование может быть реализованы с помощью Служба каталогов (LDAP, Microsoft AD).

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Возможность аппаратной аутентификации и блокировки сессии при изъятии средства аутентификации
  • Secret Net Studio - C 8.5 - Возможность аппаратной аутентификации и блокировки сессии при изъятии средства аутентификации
  • Secret Net LSP 1.9 - Возможность аппаратной аутентификации и блокировки сессии при изъятии средства аутентификации (Политика “Блокировать экран при изятии токена”)

  • АПКШ Континент 3.7 - Жесткое ограничение: 1 пользователь - 1 КШ - 1 соединение.
  • Континент-АП + Сервер доступа 3.7 - настройка “разрешить множественные подключения” на СД

  • InfoWatch ARMA Industrial Firewall - Портал авторизации позволяет установить ограничение на параллельные сеансы доступа

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — УПД.9
  • Приказ 21 — УПД.9
  • Приказ 31 — УПД.9

Наверх

Обратно к II. Управление доступом (УПД)

УПД.10 Блокирование сеанса доступа пользователя при неактивности

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способ реализации: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Возможность блокировки сессии пользователя по периоду неактивности
  • Secret Net Studio - C 8.5 - Возможность блокировки сессии пользователя по периоду неактивности

  • ПАК “Соболь” 3.0.9 (M2) - Если в течение заданного интервала времени не прислонил электронный идентификатор - ИС блокируется до перезагрузки
  • Соболь 4.2 - Если в течение заданного интервала времени не прислонил электронный идентификатор - ИС блокируется до перезагрузки

  • Континент-АП + Сервер доступа 3.7 - alive-ы, разрыв связи по истечении времени неактивности
  • vGate 4.0 - Только для доступа к ESXi, ограничение времени неактивности пользователя

  • InfoWatch ARMA Industrial Firewall - +

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — УПД.10
  • Приказ 21 — УПД.10
  • Приказ 31 — УПД.10

Наверх

Обратно к II. Управление доступом (УПД)

УПД.11 Управление действиями пользователей до идентификации и аутентификации

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способ реализации: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Без входа в систему (идентификации и аутентификации) все действия недоступны
  • Secret Net Studio - C 8.5 - Без входа в систему (идентификации и аутентификации) все действия недоступны
  • Secret Net LSP 1.9 - Без входа в систему (идентификации и аутентификации) все действия недоступны
  • ПАК “Соболь” 3.0.9 (M2) - Без идентификации не осуществляется загрузка, пользователь ничего не может делать. Ограничение числа попыток входа.
  • Соболь 4.2 - Без идентификации не осуществляется загрузка, пользователь ничего не может делать. Ограничение числа попыток входа.

  • Континент-АП + Сервер доступа 3.7 - Режиме ожидания МСЭ на АП. Правила фильтрации до авторизации - правила сетевой фильтрации, разрешают минимальное кол-во технических соединений, обеспечивающих работу компьютера в сети.
  • vGate 4.0 - До прохождения процедуры идентификации и аутентификации любые действия запрещены

  • InfoWatch ARMA Industrial Firewall - +

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — УПД.11
  • Приказ 21 — УПД.11
  • Приказ 31 — УПД.11

Наверх

Обратно к II. Управление доступом (УПД)

УПД.12 Управление атрибутами безопасности

Категория значимости 1 2 3
Наличие требования в Базовом набор мер      

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Требование реализуется встроенными механизмами обеспечения информационной безопасности операционных систем, прикладного программного обеспечения, программируемых логических контроллеров, активного сетевого оборудования и т.п.
  • возможные: Требование может быть реализованы с помощью Служба каталогов (LDAP, Microsoft AD).

Возможности некоторых продуктов:

  • Secret Net Studio 8.5 - Управление атрибутами в рамках настройки дискреционного и мандатного доступа. Атрибуты сохраняются в процессе обработки информации
  • Secret Net Studio - C 8.5 - Управление атрибутами в рамках настройки дискреционного и мандатного доступа. Атрибуты сохраняются в процессе обработки информации
  • Secret Net LSP 1.9 - Управление атрибутами в рамках настройки дискреционного доступа. Атрибуты сохраняются в процессе обработки информации

  • vGate 4.0 - Назначение меток на объекты ВИ и контроль операций с ними
  • InfoWatch Endpoint Security - Шифрование

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — УПД.12
  • Приказ 21 — УПД.12
  • Приказ 31 — УПД.12

Наверх

Обратно к II. Управление доступом (УПД)

УПД.13 Реализация защищенного удаленного доступа

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Требование реализуется средствами защиты информации для организации удалённого доступа.
  • возможные: Требование может быть реализовано с применением технологий организации виртуальных рабочих мест (VDI, терминальный доступ). Требование может быть реализовано в рамках договоров на оказание услуг по организации и предоставлению каналов передачи данных.

Возможности некоторых продуктов:

  • АПКШ Континент 3.7 - Основной функционал
  • Континент-АП + Сервер доступа 3.7 - Основной функционал

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — УПД.13
  • Приказ 21 — УПД.13
  • Приказ 31 — УПД.13

Наверх

Обратно к II. Управление доступом (УПД)

УПД.14 Контроль доступа из внешних информационных (автоматизированных) систем

Категория значимости 1 2 3
Наличие требования в Базовом набор мер + + +

Тип требования: Функциональное

Способы реализации:

  • рекомендуемые: Требование реализуется средствами защиты информации для контроля доступа.
  • возможные: Требование может быть реализовано с применением систем контроля действий привилегированных учетных записей (PAM). Требование может быть реализовано с путём ограничения использования беспроводного доступа и мобильных технических средств.

Возможности некоторых продуктов:

  • CL DATAPK - Выявление и контроль (проверка/учет) информационных потоков по сетевым реквизитам источников и получателей, а также протоколу и данным пакетов. Осуществляется контроль информационных потоков, для которых источник или получатель находится за пределами защищаемой АСУ ТП.

  • ПАК “Соболь” 3.0.9 (M2) - В Соболе есть автономный и сетевой режим работы. Взаимодействие с внешними ИС возможно только в сетевом режиме.

  • InfoWatch ARMA Industrial Firewall - +

Аналоги в других приказах ФСТЭК России:

  • Приказ 17 — УПД.16
  • Приказ 21 — УПД.16
  • Приказ 31 — УПД.14

Наверх

Обратно к II. Управление доступом (УПД)