Приказ суров, но справедлив. Часть 1 (теоретическая).


Начну с того, что я так и не смог найти картинку для этого поста корелирующую с содержанием и выбрал максимально подходящую с моей точки зрения.

Не прошло и трех лет 16 января 2015 года широкому кругу заинтересованных стала доступна обновленная версия Приказа ОАЦ за номером 62, в которой впервые появилось столь любимое всеми нами слово «виртуализация». А это значит, что существование технологий виртуализации официально признано и узаконено для использования в государственных органах РБ, естественно, при выполнении всех обозначенных требований по обеспечению технической и криптографической защиты информации.
Требований таких набралось не много не мало, а 8 штук. Числятся они за номерами с 47 по 54, распространяются на классы объектов информатизации A2, Б2 и B2 и звучат так:
  • 47. Идентификация и аутентификация субъектов и объектов в виртуальной инфраструктуре, в том числе уполномоченных пользователей по управлению средствами виртуализации
  • 48. Управление доступом субъектов к объектам в виртуальной инфраструктуре, в том числе внутри виртуальных машин
  • 49. Регистрация событий безопасности в виртуальной инфраструктуре
  • 50. Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных
  • 51. Контроль за обеспечением целостности виртуальной инфраструктуры и ее конфигураций
  • 52. Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры
  • 53. Реализация и управление антивирусной защитой в виртуальной инфраструктуре
  • 54. Деление виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки в них информации отдельным пользователем и (или) группой пользователей
На этом пока остановимся и перейдем к аналогичному документу одного дружественного нам государства – Приказу ФСТЭК за номером 17 от 11 февраля 2013 г. (что фактически на 2 года ранее).

Приложение №2 “Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности информационной системы”. К слову, таких классов защищенности информационной системы в приказе ФСТЭК четыре: 1, 2, 3 и 4.

В части 11 «Защита среды виртуализации (ЗСВ)» определено 10 требований:
  • ЗСВ.1 Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации (распространяется на классы 4-1)
  • ЗСВ.2 Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин (распространяется на классы 4-1)
  • ЗСВ.3 Регистрация событий безопасности в виртуальной инфраструктуре (распространяется на классы 3-1)
  • ЗСВ.4 Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры (распространяется на классы 2-1)
  • ЗСВ.5 Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера), серверов управления виртуализацией (вообще не является обязательным для классов 4-1)
  • ЗСВ.6 Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных (2-1)
  • ЗСВ.7 Контроль целостности виртуальной инфраструктуры и ее конфигураций (2-1)
  • ЗСВ.8 Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры (4-1)
  • ЗСВ.9 Реализация и управление антивирусной защитой в виртуальной инфраструктуре (3-1)
  • ЗСВ.10 Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки информации отдельным пользователем и (или) группой пользователей (2-1)
Красным и зеленым обозначена дельта в два требования.
Теперь попробуем разобраться что же такое классы объектов информатизации A2, Б2 и B2 и Приказе ОАЦ и классы защищенности информационной системы 4-1 в Приказе ФСТЭК.Согласно СТБ 34.101.30-2007 «Классификация объектов информатизации»:
  • Класс А2 — ТС ОИ размещены в пределах одной КЗ, в пределах области действия КСБО обрабатывается служебная информация ограниченного распространения.
  • Класс Б2 — ТС ОИ размещены в нескольких КЗ, объединённых защищенными каналами передачи данных, в пределах области действия КСБО обрабатывается служебная информация ограниченного распространения
  • Класс B2 – ТС ОИ размещены в пределах одной КЗ, в пределах области действия КСБО обрабатывается служебная информация ограниченного распространения, один или несколько объектов имеют каналы обмена информацией, выходящие за пределы КЗ.
И если в данном случае все достаточно понятно, все классы описывают служебную информацию ограниченного распространения, то у дружественного государство все очень занятно:
Согласно Приложения 1 к "Требованиям о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" Приказа №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» - класс защищенности информационной системы определяется в зависимости от уровня значимости информации (УЗ), обрабатываемой в этой информационной системе, и масштаба информационной системы (федеральный, региональный, объектовый). Выглядит это так:

Уровень значимости
информации
Масштаб информационной системы
Федеральный
Региональный
Объектовый
УЗ 1
K1
K1
K1
УЗ 2
K1
K2
K2
УЗ 3
K2
K3
K3
УЗ 4
K3
K3
K4

Там же определены и УЗ (уровни значимости):
  • Информация имеет высокий уровень значимости (УЗ 1), если хотя бы для одного из свойств безопасности информации (конфиденциальности, целостности, доступности) определена высокая степень ущерба.
  • Информация имеет средний уровень значимости (УЗ 2), если хотя бы для одного из свойств безопасности информации (конфиденциальности, целостности, доступности) определена средняя степень ущерба и нет ни одного свойства, для которого определена высокая степень ущерба.
  • Информация имеет низкий уровень значимости (УЗ 3), если для всех свойств безопасности информации (конфиденциальности, целостности, доступности) определены низкие степени ущерба.
  • Информация имеет минимальный уровень значимости (УЗ 4), если обладателем информации (заказчиком) и (или) оператором степень ущерба от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности) не может быть определена, но при этом информация подлежит защите в соответствии с законодательством Российской Федерации.
На этом пока остановимся. В следующих частях мы вернемся к трактовке этих удивительных 8 требований и к практической части их исполнения. 

Комментариев нет:

Отправить комментарий