Хочу купить, а что - не знаю. (Размышления субъекта КИИ)

Хочу купить, а что - не знаю. (Размышления субъекта КИИ)

            Все ближе момент времени, когда субъекты КИИ начнут просчитывать бюджеты на создание систем безопасности значимых объектов КИИ. Далее последуют конкурсные процедуры на закупку технических средств защиты информации и на проектирование систем безопасности. А значит, остро встает вопрос - какие требования установлены законодательством для технических средств, используемых для создания систем безопасности значимых объектов КИИ. Производители и вендора уже начали выводить на рынок комплексные решения для выполнения требований 235 и 239 Приказов ФСТЭК, а так же для совместной работы с ГоСОПКой. Целью данной заметки является формирование предварительных требований к поставщикам в рамках конкурсных процедур,в  полном соответствии с законодательством РФ.

       В связи с большим объемом документов, необходимых для пояснения требований, сначала напишу выводы и советы,а в приложении будет приведен обоснованный и аргументированный анализ и обоснование. Просто для упрощения восприятия информации.

        Вывод № 1. Государственные структуры будут закупать только сертифицированные технические средства. Если значимый объект КИИ является ГИС, то однозначно.
        Для технических средств в интересах ГосСОПКи сертификат обязателен по НДВ и по СКЗИ. Если производитель предлагает комплексное решение в виде отдельного программно-аппаратного комплекса, то сертификаты должны быть на комплекс, а не на составные части.

         Совет: Коммерческим субъектам КИИ рекомендую принять аналогичное решение по обязательному наличию сертификатов. Иначе, получается что производитель переложил на Покупателя головную боль и ответственность за соответствие требованиям регуляторов.                      Целесообразность принятия такого риска видна только  в случаях, когда вы заказываете единичный экземпляр "под себя".

        Вывод №2 Прямо прописываем требование к поставщику оборудования  - обеспечение технической поддержки на весь срок службы изделия, установленный производителем.                      Совет: Однозначный запрет на поставку средств, произведенных в странах, поддерживающих санкции по отношению к РФ. Прописываем ответственность поставщика за отсутствие запрещенного функционала.Для технических средств в интересах ГосСОПКи только отечественный производитель.


         Вывод № 3. Для соответствующего закупаемого оборудования, взаимодействующего с технической инфраструктурой ГосСОПКи, требуем в обязательном порядке поддержку форматов, установленных НКЦКИ.

          Вывод № 4.  Подтверждение документальное от поставщика выполнения всех требований к  средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.

          Итог: Требования к оборудованию ГосСОПКи официально появятся нескоро. Еще не создан НКЦКИ, который должен будет утвердить форматы передачи информации от субъекта. Необходимо очень внимательно оценивать риски при рассмотрении рекламных обещаний производителей о "полном соответствии требованиям", официально - это невозможно. Сертификацию до утверждения требований они так же не смогут начать.
       
     
         
Приложение:

      При этом, мы имеем конкретизацию в Приказе ФСТЭК России от 21.12.2017 N 235 "Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования"

        17. К программным и программно-аппаратным средствам, применяемым для обеспечения безопасности значимых объектов критической информационной инфраструктуры, относятся средства защиты информации, в том числе средства защиты информации от несанкционированного доступа (включая встроенные в общесистемное, прикладное программное обеспечение), межсетевые экраны, средства обнаружения (предотвращения) вторжений (компьютерных атак), средства антивирусной защиты, средства (системы) контроля (анализа) защищенности, средства управления событиями безопасности, средства защиты каналов передачи данных.
          Смотрим требования, предъявляемые ФСТЭК:
          Приказ ФСТЭК России от 25.12.2017 N 239 "Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации"
          28. Для обеспечения безопасности значимых объектов критической информационной инфраструктуры должны применяться средства защиты информации, прошедшие оценку на соответствие требованиям по безопасности в формах обязательной сертификации, испытаний или приемки.
         Средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации, применяются в случаях, установленных законодательством Российской Федерации, а также в случае принятия решения субъектом критической информационной инфраструктуры.
          В иных случаях применяются средства защиты информации, прошедшие оценку соответствия в форме испытаний или приемки, которые проводятся субъектами критической информационной инфраструктуры самостоятельно или с привлечением организаций, имеющих в соответствии с законодательством Российской Федерации лицензии на деятельность в области защиты информации.
          Испытания (приемка) средств защиты информации проводятся отдельно или в составе значимого объекта критической информационной инфраструктуры в соответствии с программой и методиками испытаний (приемки), утверждаемыми субъектом критической информационной инфраструктуры.

         Вывод № 1. Государственные структуры будут закупать только сертифицированные технические средства. Если значимый объект КИИ является ГИС, то однозначно. Если, это иная ИС государственного учреждения, то очень даже вероятно.
         
         31. Применяемые в значимом объекте программные и программно-аппаратные средства, в том числе средства защиты информации, должны быть обеспечены гарантийной и (или) технической поддержкой.
        При выборе программных и программно-аппаратных средств, в том числе средств защиты информации, необходимо учитывать наличие ограничений на возможность их применения субъектом критической информационной инфраструктуры на любом из принадлежащих ему значимых объектов критической информационной инфраструктуры со стороны разработчиков (производителей) или иных лиц.
        В значимом объекте не допускаются:
        наличие удаленного доступа непосредственно (напрямую) к программным и программно-аппаратным средствам, в том числе средствам защиты информации, для обновления или управления со стороны лиц, не являющихся работниками субъекта критической информационной инфраструктуры;
        наличие локального бесконтрольного доступа к программным и программно-аппаратным средствам, в том числе средствам защиты информации, для обновления или управления со стороны лиц, не являющихся работниками субъекта критической информационной инфраструктуры;
        передача информации, в том числе технологической информации, разработчику (производителю) программных и программно-аппаратных средств, в том числе средств защиты информации, или иным лицам без контроля со стороны субъекта критической информационной инфраструктуры.

        Вывод №2 Прямо прописываем требование к поставщику оборудования  - обеспечение технической поддержки на весь срок службы изделия, установленный производителем. Однозначный запрет на поставку средств, произведенных в странах, поддерживающих санкции по отношению к РФ. Прописываем ответственность поставщика за отсутствие запрещенного функционала.

        Рассмотрим требования ФСБ, которые дополняют, но не отменяют требования ФСТЭК.
        Проект Приказа ФСБ России "Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами критической информационной инфраструктуры Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения" (по состоянию на 05.04.2018) (подготовлен ФСБ России)
        Уведомление в соответствии с пунктом 6 настоящего Порядка осуществляется субъектами КИИ с использованием технической инфраструктуры НКЦКИ в соответствии с форматами представления информации о компьютерных инцидентах в ГосСОПКА и составом технических параметров компьютерного инцидента, указываемых при представлении информации в ГосСОПКА, установленными НКЦКИ.
        Проект Приказа ФСБ России "Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами критической информационной инфраструктуры Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения" (по состоянию на 26.12.2017) (подготовлен ФСБ России)
       3. Обмен информацией о компьютерных инцидентах осуществляется субъектами КИИ путем взаимного направления уведомлений в соответствии с форматами представления сведений о компьютерных инцидентах в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (далее - ГосСОПКА) и составом технических параметров компьютерного инцидента, указываемых при представлении в ГосСОПКА, установленными Национальным координационным центром по компьютерным инцидентам (далее - НКЦКИ), а также запросов, уточняющих представляемую информацию.

        Вывод № 3. Для соответствующего закупаемого оборудования, взаимодействующего с технической инфраструктурой ГосСОПКи, требуем в обязательном порядке поддержку форматов, установленных НКЦКИ.
        Желательно дополнить требованиями проекта Приказа ФСБ России "Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации" (по состоянию на 03.04.2018) (подготовлен ФСБ России)
          5. Информация о компьютерных инцидентах, связанных с функционированием объектов КИИ:
          дата, время, фактический адрес или географическое местоположение объекта КИИ, на котором произошел компьютерный инцидент;
          наличие причинно-следственной связи между компьютерным инцидентом и компьютерной атакой;
         связь с другими компьютерными инцидентами (при наличии);
         состав технических параметров компьютерного инцидента;
         последствия компьютерного инцидента.
        3. Информация, указанная в пункте 5 Перечня, представляется субъектами КИИ в ГосСОПКА путем ее направления в НКЦКИ в соответствии с установленными НКЦКИ форматами с использованием технической инфраструктуры НКЦКИ, предназначенной для отправки, получения, обработки и хранения уведомлений и запросов в рамках информационного взаимодействия с субъектами КИИ, а также с иными не являющимися субъектами КИИ органами и организациями, в том числе иностранными и международными.
4. Информация, указанная в пункте 5 Перечня, направляется субъектом КИИ в НКЦКИ незамедлительно (не позднее 24 часов с момента обнаружения компьютерного инцидента).

       Вывод № 4.  Подтверждение выполнения всех требований к  средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты. Внимание - обязательная сертификация на НДВ (см. п.2.6. Приказа). Изделие только отечественное.

       Проект Приказа ФСБ России "Об утверждении Требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты" (по состоянию на 08.02.2018) (подготовлен ФСБ России)
       1. Настоящие Требования определяют требования к устанавливаемым и используемым на всей территории Российской Федерации техническим, программным, программно-аппаратным и иным средствам для обнаружения (в том числе для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации (далее - КИИ), предупреждения, ликвидации последствий компьютерных атак и (или) обмена информацией, необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак, а также криптографическим средствам защиты такой информации (далее - средства, если не оговорено иное).
       2. Средства, предназначенные для обеспечения безопасности значимых объектов КИИ, должны соответствовать требованиям:
       2.1. Обеспечение выполнения следующих задач:
       обнаружение компьютерных атак;
       предупреждение компьютерных атак;
       ликвидация последствий компьютерных атак и реагирование на компьютерные инциденты;
       поиск признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ;
      криптографическая защита обмена информацией необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак.
      Данные задачи могут реализовываться одним или несколькими программно-аппаратными или программными средствами.
     2.2. Отсутствие принудительного обновления программного обеспечения (далее - ПО) и управления с территории иностранного государства.
    2.3. Отсутствие возможности несанкционированной передачи информации, включая технологическую, в том числе их разработчику (производителю).
   2.4. Возможность осуществления их модернизации силами российских организаций без участия иностранных организаций и организаций с иностранными инвестициями.
   2.5. Обеспечение гарантийной и технической поддержкой российскими организациями без участия иностранных организаций и организаций с иностранными инвестициями.
   2.6. Отсутствие недекларированных возможностей в ПО.
   2.7. Наличие: резервных копий ПО, формуляр, руководство администратора. В формуляре средств в отдельном разделе должны быть приведены условия эксплуатации, средства и способы подключения к сетям электросвязи, в том числе к сети "Интернет".
    3. В технических, программных, программно-аппаратных и иных средствах, предназначенных для обнаружения (в том числе для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ), предупреждения, ликвидации последствий компьютерных атак должны быть реализованы функции:
     собственной безопасности;
     визуализации информации;
     построения сводных отчетов;
     хранения информации.

III. Требования к средствам в части
обнаружения компьютерных атак

4. Средства в части обнаружения компьютерных атак должны обладать следующими функциональными возможностями:
сбор и первичная обработка информации, поступающей от источников событий информационной безопасности (далее - события ИБ) <1>;
--------------------------------
<1> Источниками событий ИБ могут являться: операционные системы, средства обнаружения вторжений (атак), межсетевые экраны, средства предотвращения утечек данных, антивирусное программное обеспечение, телекоммуникационное оборудование, прикладные сервисы, средства контроля (анализа) защищенности, средства управления телекоммуникационным оборудованием и сетями связи, системы мониторинга состояния телекоммуникационного оборудования, системы мониторинга качества обслуживания.

автоматический анализ событий ИБ и выявление компьютерных инцидентов (компьютерных атак);
ретроспективный анализ данных и выявление не обнаруженных ранее компьютерных инцидентов.
         5. При осуществлении сбора и первичной обработки событий ИБ средства должны обеспечивать:
         удаленный и локальный сбор событий ИБ;
        сбор событий ИБ в непрерывном режиме функционирования, в случае потери связи - сразу после ее восстановления, а также по расписанию;
        обработку поступающих событий ИБ и сохранение результатов их обработки;
        сохранение информации о событиях ИБ, в том числе в исходном виде;
        синхронизацию системного времени и корректировку временных значений в принимаемых событиях ИБ (корректировку настроек часовых поясов);
сбор информации непосредственно от источников событий ИБ, из файлов либо посредством агентов, размещенных на отдельных источниках событий ИБ;
встроенную поддержку различных источников событий ИБ и возможность разработки дополнительных модулей, обеспечивающих получение информации от новых источников событий ИБ.
        6. При осуществлении автоматического анализа событий ИБ и выявления компьютерных инцидентов (компьютерных атак) средства должны обеспечивать:
       отбор и фильтрацию событий ИБ;
       корреляцию и агрегацию событий ИБ;
       выявление компьютерных инцидентов, регистрацию способов их обнаружения;
       возможность корреляции для распределенных по времени и (или) месту возникновения событий ИБ;
       возможность корреляции для последовательности событий ИБ;
       возможность просмотра и редактирования правил корреляции, а также обновления и загрузки новых правил;
       автоматическое назначение приоритетов событиям ИБ на основании заданной критичности.
      7. При осуществлении ретроспективного анализа данных и выявления не обнаруженных ранее компьютерных инцидентов средства должны обеспечивать:
      выявление связей и зависимостей между полученными раннее данными (событиями ИБ, компьютерными инцидентами, информацией об уязвимостях и недостатках в настройке, справочной информацией и другими данными) и анализируемыми в данный момент времени событиями ИБ;
      возможность настройки параметров проводимого анализа;
проведение поиска не обнаруженных ранее компьютерных инцидентов с использованием новых правил обнаружения.

       IV. Требования к средствам в части
предупреждения компьютерных атак

        8. Средства в части предупреждения компьютерных атак должны обладать следующими функциональными возможностями:
сбор и обработка сведений об инфраструктуре контролируемых информационных ресурсов и справочной информации <1>;
--------------------------------
<1> В качестве справочной информации используется любая дополнительная информация, позволяющая идентифицировать контролируемые объекты.

сбор и обработка сведений об уязвимостях и недостатках в настройке ПО, используемого на объектах контролируемых информационных ресурсов;
учет угроз безопасности информации.
      9. При осуществлении сбора и обработки сведений об инфраструктуре контролируемых информационных ресурсов и справочной информации средства должны обеспечивать:
      9.1. Сбор и обработку конфигурационной информации:
     об объектах, функционирующих в составе контролируемых информационных ресурсов;
     о сетевых моделях контролируемых информационных ресурсов;
     о контролируемых информационных ресурсах;
     об источниках событий ИБ, используемых в составе контролируемых информационных ресурсов;
    о телекоммуникационном оборудовании, используемом в контролируемых информационных ресурсах.
   9.2. Сбор и обработку справочной информации:
   о репутации IP-адресов, доменных имен, DNS-серверов и почтовых серверов;
   о владельцах IP-адресов, доменных имен, DNS-серверов и почтовых серверов;
   о местоположении и географической принадлежности IP-адресов;
  об известных уязвимостях;
  о правилах обнаружения компьютерных атак (сведения о сигнатурах);
  о бот-сетях, включая сведения об их управляющих серверах.
9.3. Возможность расширения перечня используемой информации об инфраструктуре контролируемых информационных ресурсов и справочной информации.
9.4. Возможность добавления, просмотра и изменения сведений об инфраструктуре и справочной информации.
10. При осуществлении сбора и обработки сведений об уязвимостях и недостатках в настройке ПО, используемого на объектах контролируемых информационных ресурсов средства должны обеспечивать:
сбор и обработку данных о дате и времени проведения исследования контролируемых информационных ресурсов;
сбор и обработку сведений об исследуемых объектах контролируемого информационного ресурса (сетевые адреса и имена объектов, наименования и версии операционных систем, под управлением которых функционируют объекты);
формирование перечня выполняющихся сетевых служб (для каждого объекта контролируемого информационного ресурса);
формирование перечня выявленных уязвимостей и недостатков в настройке ПО (для каждого объекта контролируемого информационного ресурса);
возможность формирования обобщенных сведений, представляемых в Национальный координационный центр по компьютерным инцидентам (далее - НКЦКИ).
11. При осуществлении учета угроз безопасности информации средства должны обеспечивать:
создание и изменение формализованной записи об угрозе безопасности информации в ручном режиме;
создание формализованной записи об угрозе безопасности информации в автоматизированном режиме посредством взаимодействия с другими автоматизированными системами;
создание формализованной записи об угрозе безопасности информации в автоматизированном режиме посредством взаимодействия с НКЦКИ;
автоматизированный обмен информацией об угрозах безопасности информации с НКЦКИ;
создание и изменение инструкций по обработке угроз безопасности информации;
построение рабочих процессов обработки сообщений об угрозах безопасности информации и запросов от НКЦКИ.

V. Требования к средствам в части ликвидации последствий
компьютерных атак и реагирования на компьютерные инциденты

12. Средства в части ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты должны обладать следующими функциональными возможностями:
учет и обработка компьютерных инцидентов;
управление процессами реагирования на компьютерные инциденты и ликвидации последствий компьютерных атак;
обеспечение взаимодействия с НКЦКИ;
информационно-аналитическое сопровождение.
13. При осуществлении учета и обработки компьютерных инцидентов средства должны обеспечивать:
создание и изменение типов карточек компьютерных инцидентов, определение состава полей этих карточек и требований к заполнению полей;
определение статусной модели компьютерных инцидентов в зависимости от типа инцидента;
назначение категорий и приоритетов компьютерных инцидентов по заданным критериям;
создание и изменение соглашений об уровне услуг по обработке компьютерных инцидентов;
создание и изменение правил по обработке компьютерных инцидентов;
управление доступом к данным о компьютерном инциденте;
создание формализованной карточки компьютерного инцидента в ручном режиме;
создание формализованной карточки компьютерного инцидента в автоматизированном режиме посредством взаимодействия с другими автоматизированными системами и НКЦКИ;
создание формализованной карточки компьютерного инцидента из поступившего формализованного сообщения об угрозе безопасности информации;
учет формализованных карточек компьютерных инцидентов;
фильтрацию, сортировку и поиск хранимых карточек компьютерных инцидентов и сведений об инцидентах;
агрегирование записей о компьютерных инцидентах по заданным критериям;
регистрацию действий администраторов как по настройке средств, так и по процессу работы со сведениями о компьютерных инцидентах;
отслеживание времени внесения и сроков хранения данных, а также источников этих данных;
создание и изменение правил по обработке компьютерных инцидентов и ликвидации последствий компьютерных атак.
14. При осуществлении управления процессами реагирования на компьютерные инциденты и ликвидации последствий компьютерных атак средства должны обеспечивать:
обогащение данных компьютерного инцидента данными из внешних систем и предоставление контекста компьютерного инцидента, включая сведения о программных и конфигурационных уязвимостях, которые содержатся в реквизитах компьютерного инцидента;
применение типовых сценариев реагирования на компьютерные инциденты и ликвидации последствий компьютерных атак, а также задание правил их применимости на основании сведений об инциденте;
создание задач для внешних систем и сервисов с возможностью экспорта, импорта и отслеживания статуса этих задач посредством интерфейса прикладного программирования;
уведомление о регистрации новых компьютерных инцидентов, завершении длительных задач, а также об изменении их состояния;
поддержку принятия управленческого решения при реагировании на угрозу безопасности информации или компьютерный инцидент;
поддержку координации действий сил и использования средств реагирования на компьютерный инцидент;
контроль соглашений об уровне услуг по обработке компьютерных инцидентов и контроль устранения компьютерных инцидентов.
15. При осуществлении взаимодействия с НКЦКИ средства должны обеспечивать:
автоматизированный обмен сведениями согласно перечню информации о компьютерных инцидентах, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;
учет формализованных карточек компьютерных инцидентов в соответствии с системой идентификации НКЦКИ;
оперативную коммуникацию со специалистами НКЦКИ.
16. При осуществлении информационно-аналитического сопровождения средства должны обеспечивать:
интерактивное формирование выборок данных, основанных на комбинациях атрибутов и объектов из карточек компьютерных инцидентов, сообщений об угрозах безопасности информации и выходящих за рамки стандартных отчетов;
реализацию расчетов прогнозных значений анализируемых показателей на основе ретроспективных данных из карточек компьютерных инцидентов и сообщений об угрозах безопасности информации.

VI. Требования к средствам поиска признаков компьютерных
атак в сетях электросвязи, используемых для организации
взаимодействия объектов КИИ

17. Средства поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ должны обеспечивать:
контроль изменений параметров настроек телекоммуникационного оборудования сети электросвязи;
контроль изменений параметров настроек систем управления телекоммуникационным оборудованием и сетями электросвязи;
обнаружение в сети электросвязи признаков управления телекоммуникационным оборудованием;
обнаружение признаков компьютерных атак в сети электросвязи по значениям служебных полей (заголовков) протоколов сетевого взаимодействия, а также сбора, накопления и статистической обработки результатов такого обнаружения;
хранение копий трафика внутреннего сетевого взаимодействия сетей электросвязи субъектов КИИ, использующих при внутреннем и внешнем сетевом взаимодействии нестандартизированные протоколы или протоколы промышленного назначения;
анализ и выгрузку фрагментов копий трафика внутреннего сетевого взаимодействия субъектов КИИ, использующих при внутреннем и внешнем сетевом взаимодействии нестандартизированные протоколы или протоколы с закрытыми спецификациями;
возможность определять векторы распределенных во времени компьютерных атак и соотносить их с элементами как сетевой инфраструктуры, так и технологического процесса объекта КИИ;
возможность извлечения передаваемых файлов заданного типа из сетевого трафика;
сигнализацию и уведомление о фактах обнаружения признаков компьютерных атак;
сигнализацию и уведомление о нарушениях штатного режима функционирования средств;
наличие интерфейса (интерфейсов) передачи данных о сетевом трафике, в котором обнаружены признаки компьютерных атак, а также результатов сбора, накопления и статистической обработки такой информации.

VII. Требования к средствам криптографической
защиты обмена информацией, необходимой субъектам КИИ
при обнаружении, предупреждении и (или) ликвидации
последствий компьютерных атак

18. Средства криптографической защиты обмена информацией, необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак, должны быть сертифицированы в системе сертификации средств защиты информации.

VIII. Требования к средствам в части реализации
функций собственной безопасности

19. Технические, программные, программно-аппаратные и иные средства, предназначенные для обнаружения (в том числе для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ), предупреждения, ликвидации последствий компьютерных атак, в части реализации функций собственной безопасности должны обеспечивать:
идентификацию и аутентификацию администраторов;
разграничение прав доступа к информации и уровней доступа к функциям;
регистрацию событий ИБ;
обновление программных компонентов и служебных баз данных;
самотестирование и контроль целостности ПО;
резервирование и восстановление средств.
19.1. При осуществлении идентификации и аутентификации администраторов средства должны обеспечивать:
однозначную идентификацию администраторов;
аутентификацию администраторов с использованием паролей (в том числе временного действия) и (или) аппаратных средств аутентификации;
хранение паролей в закрытом виде;
автоматическое информирование о необходимости смены паролей.
19.2. При осуществлении разграничения прав доступа к информации и уровней доступа к функциям средства должны обеспечивать:
разграничение доступа на основе политик безопасности;
возможность блокирования и повторной активации учетных записей;
поддержку функций создания, редактирования и удаления пользовательских ролей и возможности настройки прав доступа для каждой роли;
блокирование доступа при превышении значения максимального периода отсутствия активности;
сигнализацию о несанкционированных попытках доступа к управлению средствами;
журналирование всех действий администраторов с момента авторизации.
19.3. При осуществлении регистрации событий ИБ средства должны обеспечивать:
возможность определения перечня событий ИБ, подлежащих регистрации, и сроков хранения соответствующих записей в журналах регистрации;
возможность регистрации как минимум следующих связанных с функционированием средств сведений: идентификатора администратора, времени входа и выхода, запуска (завершения) программ и процессов, связанных с реализацией функций безопасности средств, интерфейса (порта) подключения, команды управления, попыток неудачной аутентификации, данных о сбоях и неисправностях в работе средств;
ведение электронных журналов учета технического состояния, содержащего следующие обязательные поля: информация о состоянии интерфейсов (портов), информация об ошибках работы оборудования с их классификацией, информация о загрузке и инициализации программно-аппаратных средств и их останова;
защиту электронных журналов регистрации от стирания и редактирования;
автоматическое извещение о заполнении электронного журнала регистрации с возможностью его сохранения на внешнем носителе;
ведение электронных журналов регистрации с привязкой к единому источнику времени.
19.4. При осуществлении обновления программных компонентов и служебных баз данных средства должны обеспечивать:
обновление без потери информации, необходимой для функционирования средств;
обновление только администраторами;
возврат к предыдущему состоянию в случае сбоя процесса обновления (данное положение может быть выполнено в том числе путем осуществления предварительного резервного копирования и последующего восстановления).
19.5. При осуществлении самотестирования и контроля целостности ПО средства должны обеспечивать:
контроль целостности ПО и конфигурационных файлов при загрузке, во время функционирования и по команде администратора;
возможность штатного самотестирования ПО в процессе функционирования с регистрацией указанной информации в электронном журнале регистрации.
19.6. При осуществлении резервирования и восстановления средства должны обеспечивать:
возможность создания резервной копии конфигурационных данных на внешнем носителе;
возможность создания резервной копии ПО на внешнем носителе;
возможность самовосстановления работоспособности при обнаружении критических ошибок в процессе функционирования.

IX. Требования к средствам в части реализации визуализации,
построения сводных отчетов и хранения информации

20. Технические, программные, программно-аппаратные и иные средства, предназначенные для обнаружения (в том числе для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ), предупреждения, ликвидации последствий компьютерных атак, в части реализации визуализации, построения сводных отчетов и хранения информации должны обеспечивать:
20.1. Представление сведений:
о событиях ИБ;
об обнаруженных компьютерных инцидентах;
об уязвимостях и недостатках в настройке объектов контролируемых информационных ресурсов;
об инфраструктуре контролируемых информационных ресурсов в виде схем;
в виде графиков и (или) диаграмм, содержащих функции перехода от визуализированного представления сведений о компьютерных инцидентах к соответствующей им информации;
хранящихся в базе данных;
справочной и другой необходимой информации.
20.2. Построение сводных отчетов путем реализации следующих возможностей:
построение отчетов с использованием таблиц, графиков, диаграмм и гистограмм, а также их визуализации на основе полученных данных;
выбор параметров, по которым строятся таблицы, графики, диаграммы и гистограммы в отчетах;
экспорт отчетов;
автоматическое формирование отчетов по расписанию, а также их автоматическая отправка в адреса.
20.3. Надежное и достоверное хранение загружаемой информации в течение заданного периода времени и постоянную доступность к ней, а также возможность экспорта хранящейся информации в исходном и в нормализованном виде.




Alt text

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности