Начну с того, что я так и не смог найти картинку для этого поста корелирующую с содержанием и выбрал максимально подходящую с моей точки зрения.
Требований таких набралось не
много не мало, а 8 штук. Числятся они за номерами
с 47 по 54, распространяются на классы
объектов информатизации A2, Б2 и B2 и звучат так:
- 47. Идентификация и аутентификация субъектов и объектов в виртуальной инфраструктуре, в том числе уполномоченных пользователей по управлению средствами виртуализации
- 48. Управление доступом субъектов к объектам в виртуальной инфраструктуре, в том числе внутри виртуальных машин
- 49. Регистрация событий безопасности в виртуальной инфраструктуре
- 50. Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных
- 51. Контроль за обеспечением целостности виртуальной инфраструктуры и ее конфигураций
- 52. Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры
- 53. Реализация и управление антивирусной защитой в виртуальной инфраструктуре
- 54. Деление виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки в них информации отдельным пользователем и (или) группой пользователей
Приложение №2
“Состав мер защиты информации и их базовые наборы для соответствующего класса
защищенности информационной системы”. К слову, таких классов защищенности
информационной системы в приказе ФСТЭК четыре: 1, 2, 3 и 4.
В части 11 «Защита среды
виртуализации (ЗСВ)» определено 10 требований:
- ЗСВ.1 Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации (распространяется на классы 4-1)
- ЗСВ.2 Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин (распространяется на классы 4-1)
- ЗСВ.3 Регистрация событий безопасности в виртуальной инфраструктуре (распространяется на классы 3-1)
- ЗСВ.4 Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры (распространяется на классы 2-1)
- ЗСВ.5 Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера), серверов управления виртуализацией (вообще не является обязательным для классов 4-1)
- ЗСВ.6 Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных (2-1)
- ЗСВ.7 Контроль целостности виртуальной инфраструктуры и ее конфигураций (2-1)
- ЗСВ.8 Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры (4-1)
- ЗСВ.9 Реализация и управление антивирусной защитой в виртуальной инфраструктуре (3-1)
- ЗСВ.10 Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки информации отдельным пользователем и (или) группой пользователей (2-1)
Теперь попробуем разобраться
что же такое классы объектов информатизации A2, Б2 и B2 и Приказе ОАЦ и классы
защищенности информационной системы 4-1 в Приказе ФСТЭК.Согласно СТБ 34.101.30-2007
«Классификация объектов информатизации»:
- Класс А2 — ТС ОИ размещены в пределах одной КЗ, в пределах области действия КСБО обрабатывается служебная информация ограниченного распространения.
- Класс Б2 — ТС ОИ размещены в нескольких КЗ, объединённых защищенными каналами передачи данных, в пределах области действия КСБО обрабатывается служебная информация ограниченного распространения
- Класс B2 – ТС ОИ размещены в пределах одной КЗ, в пределах области действия КСБО обрабатывается служебная информация ограниченного распространения, один или несколько объектов имеют каналы обмена информацией, выходящие за пределы КЗ.
Согласно Приложения 1 к "Требованиям о защите информации, не составляющей государственную тайну,
содержащейся в государственных информационных системах" Приказа
№17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
- класс защищенности информационной системы определяется в зависимости от
уровня значимости информации (УЗ), обрабатываемой в этой информационной
системе, и масштаба информационной системы (федеральный, региональный,
объектовый). Выглядит это так:
Уровень значимости
информации
|
Масштаб информационной системы
|
||
Федеральный
|
Региональный
|
Объектовый
|
|
УЗ 1
|
K1
|
K1
|
K1
|
УЗ 2
|
K1
|
K2
|
K2
|
УЗ 3
|
K2
|
K3
|
K3
|
УЗ 4
|
K3
|
K3
|
K4
|
Там же определены и УЗ (уровни значимости):
- Информация имеет высокий уровень значимости (УЗ 1), если хотя бы для одного из свойств безопасности информации (конфиденциальности, целостности, доступности) определена высокая степень ущерба.
- Информация имеет средний уровень значимости (УЗ 2), если хотя бы для одного из свойств безопасности информации (конфиденциальности, целостности, доступности) определена средняя степень ущерба и нет ни одного свойства, для которого определена высокая степень ущерба.
- Информация имеет низкий уровень значимости (УЗ 3), если для всех свойств безопасности информации (конфиденциальности, целостности, доступности) определены низкие степени ущерба.
- Информация имеет минимальный уровень значимости (УЗ 4), если обладателем информации (заказчиком) и (или) оператором степень ущерба от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности) не может быть определена, но при этом информация подлежит защите в соответствии с законодательством Российской Федерации.
На этом пока остановимся. В следующих частях мы вернемся к трактовке этих удивительных 8 требований и к практической части их исполнения.
Комментариев нет:
Отправить комментарий