ФСТЭК про оснащение SOCов (требования)

ФСТЭК про оснащение SOCов (требования)
На сайте ФСТЭК России опубликовали "Перечень контрольно-измерительного и испытательного оборудования, средств контроля защищенности, необходимых для выполнения работ и оказания услуг, установленных Положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79" ( ссылка ).

Для оказания "услуги по мониторингу информационной безопасности средств и систем информатизации" (этот новый вид лицензируемой деятельности к нам придет 17.06.2017) необходимы следующие технические средства (ищем по пункту "в" в общей таблице):

п/п

Наименование оборудования
Технические и (или) 
функциональные характеристики

20
Программное средство контроля целостности программ и программных комплексов
Расчёт уникальных значений контрольных сумм модулей программного обеспечения и других объектов файловой системы.
Документирование результатов расчёта контрольных сумм.
Должно иметь сертификат соответствия ФСТЭК России
21.
Система контроля (анализа) защищенности информационных систем
Периодический централизованный сбор информации о проектных решениях, принятых в информационных системах, об используемом в них программном обеспечении, об известных уязвимостях информационных систем и программного обеспечения, входящего в их состав, анализ собранной информации, выявление уязвимостей в информационных системах и применяемых в них средствах (в том числе уязвимостей конфигурации), в том числе аудит стойкости паролей.
Должна иметь сертификат соответствия ФСТЭК России
22.
Средства, предназначенные для осуществления тестирования на проникновение
Должны выявлять угрозы безопасности информации путём имитации действий нарушителя, в том числе осуществления сбора данных о проектных решениях и о параметрах настройки средств и систем информатизации, в отношении которых осуществляется мониторинг информационной безопасности, и преодоления (обхода) их систем защиты информации за счет внедрения во вводимые данные структурированных запросов к базам данных, межсайтового исполнения сценариев, некорректного управления сеансами связи, отсутствия подтверждения корректности перенаправлений и эксплуатации других уязвимостей
23.
Межсетевой экран уровня веб-сервера
Контроль и фильтрация в соответствии с заданными правилами информационных потоков по протоколу передачи гипертекста, проходящих через него.
Применяется на сервере, обслуживающем сайты, веб-службы и веб-приложения, или на физической границе сегмента таких серверов (сервера).
Должен иметь сертификат ФСТЭК России, удостоверяющий его соответствие Требованиям к межсетевым экранам, утверждённым приказом ФСТЭК России от 9 февраля 2016 г. N 9, не ниже чем по 4 классу защиты
24.
Межсетевой экран уровня сети
Контроль и фильтрация в соответствии с заданными правилами информационных потоков, проходящих через него.
Применяется на физической границе (периметре) информационной системы или между физическими границами сегментов информационной системы.
Должен иметь сертификат ФСТЭК России, удостоверяющий его соответствие Требованиям к межсетевым экранам, утверждённым приказом ФСТЭК России от 9 февраля 2016 г. N 9, не ниже чем по 4 классу защиты
25.
Средство (средства) антивирусной защиты, предназначенное (предназначенные) для применения на серверах и автоматизированных рабочих местах информационных систем, и средство (средства) их централизованного администрирования
Обнаружение на серверах и на автоматизированных рабочих местах информационных систем компьютерных программ, либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации.
Централизованное администрирование средств антивирусной защиты, установленных на компонентах информационных систем (серверах, автоматизированных рабочих местах). Должно (должны) функционировать в средах операционных систем семейств Windows и Linux.
Должно (должны) иметь сертификат (сертификаты) ФСТЭК России, удостоверяющий (удостоверяющие) соответствие средства (средств) Требованиям к средствам антивирусной защиты, утверждённым приказом ФСТЭК России от 20 марта 2012 г. N 28, не ниже чем по 4 классу защиты
26.
Система обнаружения вторжений
Автоматизированное обнаружение (за счет сбора и анализа данных сетевого трафика) в информационных системах действий, направленных на несанкционированный доступ к информации, специальные воздействия на неё (носители информации, средства вычислительной техники), и реагирование на них.
Должна иметь сертификат ФСТЭК России, удостоверяющий соответствие средства Требованиям к системам обнаружения вторжений, утверждённым приказом ФСТЭК России от 6 декабря 2011 г. N 638, не ниже чем по 4 классу защиты
27.
Средство автоматизированного реагирования на инциденты информационной безопасности
Автоматизированное выявление инцидентов информационной безопасности по заданным индикаторам, идентификация типовых инцидентов и их локализация
28.
Замкнутая система (среда) предварительного выполнения программ (обращения к объектам файловой системы)
Изолированная информационная система (её сегмент), представляющая собой среду безопасного выполнения программ (обращения к объектам файловой системы) в целях анализа влияния указанных программ (объектов файловой системы) на безопасность информации
29.
Система управления информацией об угрозах безопасности информации
Сбор и управление информацией, поступающей из различных источников, об угрозах безопасности информации, оповещение операторов информационной системы, предназначенной для мониторинга информационной безопасности, а также операторов средств и систем информатизации, в отношении которых осуществляется мониторинг информационной безопасности, об актуальных угрозах безопасности информации
30.
Система управления событиями безопасности информации
Автоматизированное обнаружение (за счет сбора и анализа данных о событиях безопасности, регистрируемых программными и программно-техническими средствами) в средствах и системах информатизации признаков несанкционированного доступа к информации и специального воздействия на неё (носители информации, средства вычислительной техники).
Должна иметь сертификат соответствия ФСТЭК России
31.
Система управления инцидентами информационной безопасности
Централизованная регистрация событий (инцидентов) информационной безопасности средств и систем информатизации, регистрация обращений операторов средств и систем информатизации, в отношении которых осуществляется мониторинг информационной безопасности, оповещение уполномоченных пользователей об инцидентах информационной безопасности, о возможных мерах по их нейтрализации и контроль обработки (нейтрализации) инцидентов информационной безопасности средств и систем информатизации, координация действий участников процесса нейтрализации инцидентов информационной безопасности, формирование и модификация шаблонов инцидентов информационной безопасности, в том числе инструкций по их нейтрализации
32.
Средство (средства) защиты каналов передачи данных
Должно (должны) обеспечивать конфиденциальность и целостность данных, передаваемых по каналам связи между информационной системой, предназначенной для управления информационной безопасностью, и средствами и системами информатизации, в отношении которых осуществляется мониторинг.
Должно (должны) иметь сертификат (сертификаты) соответствия ФСБ России
33.
Информационная система, предназначенная для мониторинга информационной безопасности
Информационная система, предназначенная для оказания услуг по мониторингу информационной безопасности средств и систем информатизации, в состав которой входят средства и системы (или их компоненты), содержащиеся в настоящем перечне под NN 27-32, и в которой приняты меры по защите информации для первого класса защищенности государственных информационных систем в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. N 17.
Должна располагаться по адресу осуществления лицензируемого вида деятельности

По сути, этот список стоит рассматривать в качестве ориентира (а для лицензиатов он обязательный) при построении SOCов в России...

В целом, требования ожидаемые и адекватные. Печалит лишь последний пункт о необходимостью принять меры для первого класса защищенности ИС по Приказу №17...

Alt text

Устали от того, что Интернет знает о вас все?

Присоединяйтесь к нам и станьте невидимыми!

Andrey Prozorov

Информационная безопасность в России и мире