Состав мер по обеспечению безопасности объектов КИИ
при реализации дистанционного режима исполнения должностных обязанностей работниками субъектов КИИ
в соответствии с рекомендациями Письма ФСТЭК России N 240/84/389
и способов их реализации средствами операционной системы специального назначения "
Astra Linux Special Edition " (ОС СН) релиз "Смоленск"РУСБ.10015-01 (очередное обновление 1.6)
Принятые обозначения и сокращения
...
Состав мер по обеспечению безопасности объектов КИИ
при реализации дистанционного режима исполнения должностных обязанностей работниками субъектов КИИ
в соответствии с рекомендациями Письма ФСТЭК России N 240/84/389
и способов их реализации средствами операционной системы специального назначения "
Astra Linux Special Edition " (ОС СН) релиз "Смоленск"РУСБ.10015-01 (очередное обновление 1.6)
№ рекомендации | Рекомендации по обеспечению безопасности объектов КИИ при реализации дистанционного режима исполнения обязанностей | Обеспечительные меры в соответствии с требованиями приказа ФСТЭК России №239 | Способ реализации меры защиты с | Эксплуатационная документация и справочная информация по функционированию и настройке штатных средств ОС СН |
1 | Проведение инструктажа работников субъектов критической информационной инфраструктуры, осуществляющих удалённый доступ к объектам критической информационной инфраструктуры, о правилах безопасного удалённого взаимодействия с такими объектами. | |||
2 | Определение перечня средств вычислительной техники, в том числе портативных мобильных средств вычислительной техники (ноутбуков, планшетных компьютеров, мобильных устройств), которые будут предоставлены работникам для удалённой работы (далее – удалённое СВТ). Для удалённого доступа не рекомендуется использование личных средств вычислительной техники, в том числе портативных мобильных средств вычислительной техники. | ИАФ.2 ИАФ.5 | В результате определения перечня предоставленных работникам СВТ и их регистрации в ОС СН, дальнейшая их идентификация осуществляется по логическим именам, по комбинации имени, логического, физического адресов, по информации об устройстве локально или централизованно с использованием сетевого протокола сквозной доверенной аутентификации. Идентификация и аутентификация пользователей осуществляется локально или с помощью организации единого пространства пользователей | ИАФ.2:
ИАФ.5: Справка ОС СН по утилите управления политикой безопасности fly-admin-smc |
3 | Определение перечня информации и информационных ресурсов (программ, томов, каталогов, файлов), расположенных на серверах объектов критической информационной инфраструктуры, к которым будет предоставляться удалённый доступ. | УПД.2 | Управление доступом к информации и информационным ресурсам (программам, томам, каталогам, файлам), определенных в перечне, осуществляется применительно ко всем объектам, включая объекты файловой системы, базы данных, процессам и устройствам. | РКСЗ.1: п.3, п.4 |
4 | Назначение минимально необходимых прав и привилегий пользователям при удалённой работе. | УПД.2 УПД.4 УПД.5 | Решение о запрете или разрешении доступа субъекта к объекту принимается на основе типа операции (чтение, запись, исполнение) и классификационной метки объекта в соответствии с установленными правилами разграничения доступа. Управление доступом осуществляется применительно ко всем объектам, включая объекты файловой системы, базы данных, процессам и устройствам. Разделение полномочий (ролей) пользователей, назначение минимально необходимых прав и привилегий, разделение полномочий (ролей) пользователей осуществляется администратором с помощью инструментов управления политикой безопасности в соответствии с организационно-распорядительной документацией. | УД.2: Справка ОС СН по утилите управления политикой безопасности fly-admin-smc УПД.5: Справка ОС СН по утилите управления политикой безопасности fly-admin-smc |
5 | Идентификация удалённых СВТ по физическим адресам (МАС-адресам) на серверах объектов критической информационной инфраструктуры, к которым будет предоставляться удалённый доступ, предоставление им доступа к информационным ресурсам объектов критической информационной инфраструктуры методом "белого списка". | ИАФ.2 ИАФ.5 ИАФ.6 | Идентификация удаленных СВТ осуществляется по логическим именам, по комбинации имени, логического, физического адресов, по информации об устройстве локально или централизованно с использованием сетевого протокола сквозной доверенной аутентификации. Идентификация и аутентификация пользователей, в том числе двусторонняя аутентификация осуществляются локально или с помощью организации единого пространства пользователей. | ИАФ.2: Справка ОС СН по утилите управления политикой безопасности fly-admin-smc ИАФ.5: Справка ОС СН по утилите управления политикой безопасности fly-admin-smc ИАФ.6: |
6 | Исключение возможности эксплуатации удалённых СВТ посторонними лицами. | ИАФ.6 УПД.6 УПД.8 ОПС.3 ЗНИ.1 ЗНИ.5 ЗНИ.6 ЗНИ.7 | Исключение возможности эксплуатации удаленных СВТ посторонними лицами реализуется организационно-распорядительными мерами и средствами ОС СН, позволяющими осуществлять двустороннюю аутентификацию, ограничение количества неуспешных попыток входа и блокирования учетной записи и сеанса доступа пользователя при превышении числа неуспешных попыток аутентификации, установленных администратором с помощью инструментов управления политикой безопасности. Исключение хранения временных файлов и несанкционированных действий с ними, а также доступа пользователя к «остаточной» информации реализуется с использованием механизмов очистки оперативной и внешней памяти и изоляции процессов. В целях исключения несанкционированного подключения машинных носителей информации к выделенным СВТ реализуется учет машинных носителей, контроль их подключения, использования интерфейсов ввода (вывода) и вывода средствами ОС СН по защите машинных носителей информации на основе установленных администратором правил разграничения доступа. | ИАФ.6: |
7 | Выделение в отдельный домен работников, управление которым должно осуществляться с серверов субъекта критической информационной инфраструктуры, и присвоение каждому удалённому СВТ сетевого (доменного) имени. | ИАФ.1 ИАФ.3 ИАФ.4 | Средства ОС СН позволяют создавать централизованные системы по управлению идентификацией пользователей, заданию политик доступа и аудита для сетей, то есть организовать доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации. Управление идентификаторами пользователей (присвоение и блокирование идентификаторов, а также ограничение срока действия идентификаторов (учетных записей) осуществляется администратором локально или централизованно в домене с помощью инструментов управления политикой безопасности. Для защиты аутентификационной информации в ОС СН по умолчанию используются отечественные алгоритмы по ГОСТ 28147-89 и ГОСТ Р 34.11-2012. | ИАФ.1: Справка ОС СН по утилите управления политикой безопасности fly-admin-smc ИАФ.3: Справка ОС СН по утилите управления политикой безопасности fly-admin-smc ИАФ.4: Справка ОС СН по утилите управления политикой безопасности fly-admin-smc |
8 | Обеспечение двухфакторной аутентификации работников удалённых СВТ, при этом один из факторов обеспечивается устройством, отделенным от объекта критической информационной инфраструктуры, к которому осуществляется доступ. | ИАФ.1 | Двухфакторная аутентификация обеспечивается совместным применением средств идентификации и аутентификации ОС СН и средств доверенной загрузки и устройств аутентификации (например, USB-токенов). | ОП: п.4.1.3, 4.1.4 Справка ОС СН по утилите управления политикой безопасности fly-admin-smc |
9 | Организация защищённого доступа с удалённого СВТ к серверам объектов критической информационной инфраструктуры с применением средств криптографической защиты информации (VPN-клиент). | ИАФ.1 | Средствами ОС СН возможна организация криптографического преобразования канала передачи информации по протоколам прикладного уровня стека TCP/IP совместно с сертифицированными ФСБ России средствами криптографической защиты конфиденциальной информации. | РА.1: п.5.9 Справка ОС СН по утилите управления политикой безопасности fly-admin-openvpn-server |
10 | Применение на удалённых СВТ средств антивирусной защиты информации, обеспечение актуальности баз данных признаков вредоносных компьютерных программ (вирусов) на удалённых СВТ путём их ежедневного обновления. | Рекомендуется применять сертифицированные средства антивирусной защиты информации, совместимые с ОС СН и прошедшие сертификацию по программе Ready for Astra Linux. | https://astralinux.ru/ready-for-astra/ready-for-astra-products/ready-for-astra-software/ | |
11 | Исключение возможности установки работником программного обеспечения на удалённое СВТ, кроме программного обеспечения, установка и эксплуатация которого определена служебной необходимостью, реализуемое штатными средствами операционной системы удаленного СВТ или средствами защиты информации от несанкционированного доступа. | ОПС.1 ОПС.2 ЗИС.13 УКФ.3 | Исключение возможности установки и запуска неразрешенного администратора программного обеспечения реализуется средствами ограничения программной среды и контроля целостности устанавливаемого программного обеспечения с использованием хэш-функции или электронной цифровой подписи и в соответствии с установленными правилами разграничения доступа. | ОПС.1: |
12 | Обеспечение мониторинга безопасности объектов критической информационной инфраструктуры, в том числе ведения журналов регистрации действий работников удалённых СВТ и их анализа. | АУД.4 АУД.5 АУД.6 АУД.7 АУД.9 | Сбор, запись и хранение информации о событиях безопасности, а также возможность просмотра и анализ информации о действиях пользователей осуществляются с помощью средств централизованного протоколирования и ведения журналов аудита событий безопасности, установленных администратором. Контроль сетевых потоков в ОС CН осуществляет встроенный в ядро ОС СН фильтр сетевых пакетов и монитор обращений. Мониторинг (просмотр, анализ) результатов регистрации событий безопасности реализуется с использованием средств организации распределенного мониторинга сети и жизнеспособности и целостности серверов. С целью выявления инцидентов безопасности, реагирования на них и анализа записанных сетевых потоков в информационной системе могут использоваться комплексные решения на основе сертифицированных систем управления событиями безопасности (SIEM), систем обнаружения вторжений, DLP систем, совместимых с ОС СН. | АУД.4: |
13 | Блокирование сеанса удалённого доступа пользователя при неактивности более установленного субъектом критической информационной инфраструктуры времени. | УПД.10 | Блокирование сеанса доступа пользователя по истечении заданного администратором интервала времени бездействия осуществляется автоматически или по запросу. | РА.1: п.8.6 Справка ОС СН по утилите настройки элементов рабочего стола fly-admin-theme |
14 | Обеспечение возможности оперативного реагирования и принятия мер защиты информации при возникновении компьютерных инцидентов. | АУД.7 АУД.8 | Мониторинг (просмотр, анализ) результатов регистрации событий безопасности реализуется с использованием средств организации распределенного мониторинга сети и жизнеспособности и целостности серверов. С целью выявления инцидентов безопасности, реагирования на них и анализа записанных сетевых потоков в информационной системе могут использоваться комплексные решения, основанные на применении сертифицированных систем управления событиями безопасности (SIEM), систем обнаружения вторжений, DLP систем, совместимых с ОС СН. Реагирование на сбои регистрации и предупреждения администратора при заполнении объема памяти для хранения информации о событиях безопасности осуществляются с помощью средств централизованного протоколирования и аудита событий безопасности. | РА.1: п.15 |
...