Важность данного приказа рассматривал очень давно, уж больно сильно задержалась его публикация. Дополню, что воспринимать его лучше с учетом позиции Д. Кузнецова.
Таблицу нормативных документов обновил.
Изменения, внесенные в Требования к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты:
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
Таблицу нормативных документов обновил.
Изменения, внесенные в Требования к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты:
Проект от 08.02.2018,
синим
удалено
|
Доработанный проект от 09.06.2018,
красным добавлено, синим удалено, фиолетовым было добавлено и затем удалено в
опубликованном приказе
|
Приказ ФСБ от 06.05.2019
№ 196,
темным было добавлено ранее,
красным
добавлено
|
|
1.
|
I. Общие положения
1.
Настоящие Требования определяют требования к устанавливаемым и используемым
на всей территории Российской Федерации техническим, программным,
программно-аппаратным и иным средствам для обнаружения (в том числе для
поиска признаков компьютерных атак в сетях электросвязи, используемых для
организации взаимодействия объектов критической информационной инфраструктуры
Российской Федерации (далее – КИИ), предупреждения, ликвидации последствий
компьютерных атак и (или) обмена информацией, необходимой субъектам КИИ при
обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак,
а также криптографическим средствам защиты такой информации (далее – средства, если не оговорено иное).
|
I. Общие положения
1.
Настоящие Требования определяют требования к устанавливаемым и используемым
на всей территории Российской Федерации, в дипломатических
представительствах и (или) консульских учреждениях Российской Федерации
техническим, программным, программно-аппаратным и иным средствам для
обнаружения (в том числе для поиска признаков компьютерных атак в сетях
электросвязи, используемых для организации взаимодействия объектов
критической информационной инфраструктуры Российской Федерации (далее – КИИ), предупреждения, ликвидации последствий
компьютерных атак и (или) обмена информацией, необходимой субъектам КИИ при обнаружении, предупреждении и (или)
ликвидации последствий компьютерных атак, а также криптографическим средствам
защиты такой информации (далее – средства ГосСОПКА).
|
I. Общие
положения
1. Настоящие Требования определяют требования
к устанавливаемым и используемым на всей территории Российской Федерации, в дипломатических представительствах и (или)
консульских учреждениях Российской Федерации техническим, программным,
программно-аппаратным и иным средствам для обнаружения (в том числе для
поиска признаков компьютерных атак в сетях электросвязи, используемых для
организации взаимодействия объектов критической информационной инфраструктуры
Российской Федерации (далее - критическая
информационная инфраструктура), предупреждения, ликвидации последствий
компьютерных атак и (или) обмена информацией, необходимой субъектам критической информационной инфраструктуры при
обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак,
а также криптографическим средствам защиты такой информации (далее - средства
ГосСОПКА).
|
2.
|
новый пункт 2
|
2. К средствам ГосСОПКА, на которые распространяются настоящие Требования, относятся:
технические, программные, программно-аппаратные и иные средства
для обнаружения компьютерных атак (далее – средства обнаружения);
технические, программные, программно-аппаратные и иные средства
для предупреждения компьютерных атак (далее – средства предупреждения);
технические, программные, программно-аппаратные и иные средства
для ликвидации последствий компьютерных атак (далее – средства ликвидации
последствий);
технические, программные, программно-аппаратные и иные средства
поиска признаков компьютерных атак в сетях электросвязи, используемых для
организации взаимодействия объектов КИИ (далее –
средства ППКА);
технические, программные, программно-аппаратные и иные средства
обмена информацией, необходимой субъектам КИИ при
обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак
(далее – средства обмена);
криптографические средства защиты информации, необходимой
субъектам КИИ при обнаружении, предупреждении и (или)
ликвидации последствий компьютерных атак.
Средства ГосСОПКА могут реализовываться одним
или несколькими техническими, программными и программно-аппаратными
средствами.
|
2. К средствам ГосСОПКА
относятся:
технические, программные, программно-аппаратные и иные средства
для обнаружения компьютерных атак (далее - средства обнаружения);
технические, программные, программно-аппаратные и иные средства
для предупреждения компьютерных атак (далее - средства предупреждения);
технические, программные, программно-аппаратные и иные средства
для ликвидации последствий компьютерных атак (далее - средства ликвидации последствий);
технические, программные, программно-аппаратные и иные средства
поиска признаков компьютерных атак в сетях электросвязи, используемых для
организации взаимодействия объектов критической информационной инфраструктуры (далее - средства ППКА);
технические, программные, программно-аппаратные и иные средства
обмена информацией, необходимой субъектам критической информационной инфраструктуры при обнаружении, предупреждении и
(или) ликвидации последствий компьютерных атак (далее - средства обмена);
криптографические средства
защиты информации, необходимой субъектам критической информационной инфраструктуры при обнаружении, предупреждении и
(или) ликвидации последствий компьютерных атак.
Средства ГосСОПКА реализуются
одним или
несколькими техническими, программными и программно-аппаратными средствами.
|
3.
|
II. Общие требования к средствам, предназначенным для обеспечения безопасности значимых
объектов КИИ
2. Средства, предназначенные для обеспечения безопасности значимых объектов
КИИ, должны соответствовать требованиям:
2.1. Обеспечение выполнения следующих задач:
обнаружение компьютерных атак;
предупреждение компьютерных атак;
ликвидация последствий компьютерных атак и реагирование на
компьютерные инциденты;
поиск признаков компьютерных атак в сетях электросвязи,
используемых для организации взаимодействия объектов КИИ;
криптографическая защита обмена информацией необходимой субъектам
КИИ при обнаружении, предупреждении и (или) ликвидации последствий
компьютерных атак.
Данные задачи могут реализовываться одним или несколькими
программно-аппаратными или программными средствами.
2.2. Отсутствие
принудительного обновления программного обеспечения
(далее – ПО) и управления с территории
иностранного государства.
2.3. Отсутствие возможности
несанкционированной передачи информации, включая технологическую, в том числе их разработчику
(производителю).
2.4. Возможность
осуществления их модернизации силами российских
организаций без
участия иностранных организаций и организаций
с иностранными инвестициями.
2.5. Обеспечение
гарантийной и технической поддержкой российскими организациями без участия иностранных организаций
и организаций с иностранными инвестициями.
2.6. Отсутствие недекларированных возможностей в ПО.
2.7. Наличие: резервных копий ПО, формуляр, руководство
администратора. В формуляре средств в отдельном разделе должны быть приведены
условия эксплуатации, средства и способы подключения к сетям электросвязи, в
том числе к сети «Интернет».
|
II. Общие
требования к средствам ГосСОПКА
3. Средства ГосСОПКА должны соответствовать требованиям:
3.1. Отсутствие возможности принудительного
обновления или удаленного управления средствами ГосСОПКА со стороны
лиц, не являющихся сотрудниками (работниками) субъекта КИИ и (или) работниками привлекаемой в соответствии с
законодательством Российской Федерации субъектом КИИ организации,
осуществляющей лицензируемую деятельность в области защиты информации.
3.2. Отсутствие возможности бесконтрольной передачи обрабатываемой
информации лицам, не
являющимся сотрудниками (работниками) субъекта КИИ и (или) работниками привлекаемой в соответствии с
законодательством Российской Федерации субъектом КИИ организации,
осуществляющей лицензируемую деятельность в области защиты информации, в том числе разработчикам
(производителям,
правообладателям) средств ГосСОПКА и лицам, осуществляющим техническую
поддержку, ремонт, гарантийное и техническое обслуживание средств ГосСОПКА.
3.3. Возможность осуществления модернизации российскими организациями, не
находящимися под прямым или косвенным контролем иностранных физических лиц и (или)
юридических лиц.
3.4. Обеспечение гарантийной и технической поддержкой российскими
организациями, не находящимися под прямым или косвенным
контролем иностранных физических лиц и (или)
юридических лиц.
3.5. Исключение нарушений
функционирования информационных систем, информационно-телекоммуникационных
сетей и автоматизированных систем управления объектов КИИ (отсутствие влияния на достижение
целей и функционирование объектов КИИ).
3.6. Реализация
функций собственной безопасности в соответствии с разделом VIII настоящих Требований.
|
II. Требования к средствам ГосСОПКА
3. Средства ГосСОПКА должны соответствовать следующим требованиям:
3.1. В средствах ГосСОПКА должна быть исключена возможность удаленного управления со стороны лиц, не являющихся работниками субъекта критической информационной инфраструктуры и (или) работниками привлекаемой в соответствии с
законодательством Российской Федерации субъектом критической информационной инфраструктуры организации, осуществляющей лицензируемую деятельность
в области защиты информации.
3.2. В средствах ГосСОПКА должна быть исключена возможность несанкционированной передачи обрабатываемой информации лицам, не являющимся работниками
субъекта критической
информационной инфраструктуры и (или)
работниками привлекаемой в соответствии с законодательством Российской
Федерации субъектом критической информационной
инфраструктуры организации, осуществляющей
лицензируемую деятельность в области защиты информации.
3.3. Средства
ГосСОПКА должны иметь возможность модернизации российскими организациями, не
находящимися под прямым или косвенным контролем иностранных физических лиц и (или) юридических лиц.
3.4. Средства
ГосСОПКА должны быть
обеспечены гарантийной и технической поддержкой российскими организациями, не находящимися под прямым или косвенным контролем
иностранных физических лиц и (или) юридических лиц.
3.5. Работа средств ГосСОПКА не должна приводить к нарушениям
функционирования информационных систем, информационно-телекоммуникационных сетей и автоматизированных систем управления, находящихся на территории Российской
Федерации, в дипломатических представительствах и (или) консульских
учреждениях Российской Федерации (далее - информационные ресурсы) (должно быть исключено
влияние на достижение целей и функционирование
объектов критической
информационной инфраструктуры).
3.6. В средствах ГосСОПКА должны быть
реализованы функции безопасности в соответствии с главой VIII настоящих Требований.
|
3. В технических, программных, программно-аппаратных и иных
средствах, предназначенных для обнаружения (в том числе для поиска признаков
компьютерных атак в сетях электросвязи, используемых для организации
взаимодействия объектов КИИ), предупреждения, ликвидации последствий
компьютерных атак должны быть реализованы функции:
собственной безопасности;
визуализации информации;
построения сводных отчетов;
хранения информации.
|
пункт 3 исключен
|
пункт 3 исключен
|
|
4.
|
III. Требования к средствам в части
обнаружения компьютерных атак
4.
Средства в части обнаружения компьютерных атак должны обладать следующими
функциональными возможностями:
сбор
и первичная обработка информации, поступающей от источников событий
информационной безопасности (далее – события ИБ);
автоматический
анализ событий ИБ и выявление компьютерных инцидентов (компьютерных атак);
ретроспективный
анализ данных и выявление не обнаруженных ранее компьютерных инцидентов.
|
III. Требования к средствам
обнаружения
4.
Средства обнаружения должны обладать следующими функциональными возможностями:
сбор
и первичная обработка информации, поступающей от
источников событий информационной безопасности (далее – события ИБ);
автоматический
анализ событий ИБ и выявление компьютерных инцидентов (компьютерных атак);
ретроспективный анализ
событий ИБ и выявление не обнаруженных ранее компьютерных инцидентов.
|
III. Требования к средствам
обнаружения
4.
Средства обнаружения должны
обладать следующими функциями:
сбор и первичная обработка событий, связанных с
нарушением информационной безопасности (далее - события ИБ), поступающих от операционных систем, средств
обнаружения вторжений, межсетевых экранов средств предотвращения утечек
данных, антивирусного программного обеспечения, телекоммуникационного
оборудования, прикладных сервисов, средств контроля (анализа) защищенности,
средств управления телекоммуникационным оборудованием и сетями связи, систем
мониторинга состояния телекоммуникационного оборудования, систем мониторинга
качества обслуживания, а также иных средств и систем защиты информации и
систем мониторинга, эксплуатируемых субъектом критической информационной
инфраструктуры (далее - источники
событий ИБ);
автоматический
анализ событий ИБ и выявление компьютерных инцидентов;
повторный анализ ранее зарегистрированных
событий ИБ и выявление на основе такого анализа не обнаруженных ранее компьютерных инцидентов.
|
5.
|
5.
При осуществлении сбора и первичной обработки событий ИБ средства должны
обеспечивать:
удаленный
и локальный сбор событий ИБ;
сбор
событий ИБ в непрерывном режиме функционирования, в случае потери связи –
сразу после ее восстановления, а также по
расписанию;
обработку
поступающих событий ИБ и сохранение результатов их обработки;
сохранение
информации о событиях ИБ, в том числе в исходном виде;
синхронизацию
системного времени и корректировку временных значений в принимаемых событиях
ИБ (корректировку настроек часовых поясов);
сбор
информации непосредственно от источников событий ИБ, из файлов либо
посредством агентов, размещенных на отдельных источниках событий ИБ;
встроенную
поддержку различных источников событий ИБ и возможность разработки
дополнительных модулей, обеспечивающих получение информации от новых
источников событий ИБ.
|
5.
При осуществлении сбора и первичной обработки событий ИБ средства обнаружения должны обеспечивать:
удаленный
или локальный сбор событий ИБ;
сбор
событий ИБ в непрерывном режиме функционирования либо
по расписанию, в случае потери связи – сразу после ее восстановления;
обработку
поступающих событий ИБ и сохранение результатов их обработки;
сохранение
информации о событиях ИБ, в том числе в исходном виде;
синхронизацию системного времени и корректировку временных
значений в принимаемых событиях ИБ (корректировку настроек часовых поясов);
сбор
информации непосредственно от источников событий ИБ, из файлов либо
посредством агентов, размещенных на отдельных источниках событий ИБ;
встроенную
поддержку различных источников событий ИБ и возможность разработки
дополнительных модулей, обеспечивающих получение информации от новых
источников событий ИБ.
|
5.
При осуществлении сбора и первичной
обработки событий ИБ средства обнаружения должны
обеспечивать:
удаленный и (или) локальный сбор событий ИБ;
сбор событий ИБ в непрерывном
режиме функционирования либо по расписанию, в случае потери связи с источниками событий ИБ - сразу после ее
восстановления;
обработку поступающих событий
ИБ и сохранение результатов их обработки;
сохранение информации о событиях ИБ, в том числе в исходном виде;
абзац исключен
сбор информации непосредственно от
источников событий ИБ, из файлов
либо посредством агентов,
размещенных на отдельных источниках событий ИБ;
встроенную
поддержку различных источников
событий ИБ и возможность
разработки дополнительных модулей,
обеспечивающих получение информации от новых
источников событий ИБ.
|
6.
|
6.
При осуществлении автоматического анализа событий ИБ и выявления компьютерных
инцидентов (компьютерных атак) средства должны обеспечивать:
отбор
и фильтрацию событий ИБ;
корреляцию
и агрегацию событий ИБ;
выявление
компьютерных инцидентов, регистрацию способов их обнаружения;
возможность
корреляции для распределенных по времени и (или) месту возникновения событий
ИБ;
возможность
корреляции для последовательности событий ИБ;
возможность
просмотра и редактирования правил корреляции, а также обновления и загрузки
новых правил;
автоматическое
назначение приоритетов событиям ИБ на основании заданной критичности.
|
6.
При осуществлении автоматического анализа событий ИБ и выявления компьютерных
инцидентов (компьютерных атак) средства обнаружения должны обеспечивать:
отбор
и фильтрацию событий ИБ;
корреляцию и агрегацию
событий ИБ;
выявление
компьютерных инцидентов, регистрацию способов их обнаружения;
возможность
корреляции для распределенных по времени и (или) месту возникновения событий
ИБ;
возможность
корреляции для последовательности событий ИБ;
возможность
просмотра и редактирования правил корреляции, а также обновления и загрузки
новых правил;
автоматическое
назначение приоритетов событиям ИБ на основании заданной
критичности.
|
6.
При осуществлении автоматического
анализа событий ИБ и выявления
компьютерных инцидентов средства
обнаружения должны обеспечивать:
отбор
и фильтрацию событий ИБ;
выявление последовательностей разнородных событий ИБ,
имеющих логическую связь, которые могут быть значимы для
выявления возможных нарушений безопасности информации (корреляция) и объединение однородных данных о событиях ИБ (агрегация);
выявление компьютерных инцидентов, регистрацию методов (способов) их обнаружения;
возможность
корреляции для распределенных по времени и (или) месту возникновения событий ИБ;
возможность
корреляции для последовательности событий ИБ;
возможность
просмотра и редактирования правил
корреляции, а также обновления и загрузки
новых правил;
автоматическое
назначение приоритетов событиям ИБ
на основании задаваемых пользователем показателей.
|
7.
|
7. При осуществлении ретроспективного анализа данных и выявления не
обнаруженных ранее
компьютерных инцидентов средства должны обеспечивать:
выявление
связей и зависимостей между полученными раннее
данными (событиями ИБ, компьютерными инцидентами,
информацией об уязвимостях и недостатках в настройке, справочной информацией
и другими данными) и анализируемыми в данный
момент времени событиями ИБ;
возможность
настройки параметров проводимого анализа;
проведение
поиска не обнаруженных ранее компьютерных инцидентов с использованием новых
правил обнаружения.
|
7. При осуществлении ретроспективного
анализа событий ИБ и выявления не обнаруженных
ранее компьютерных инцидентов средства обнаружения
должны обеспечивать:
выявление
связей и зависимостей между событиями ИБ,
зарегистрированными в заданном интервале времени, и новой или измененной
справочной
информацией;
выявление связей и зависимостей между событиями ИБ,
зарегистрированными в заданном интервале времени, и новыми или
измененными правилами выявления инцидентов;
выявление связей и зависимостей между событиями ИБ и полученными
ранее сведениями о контролируемых информационных ресурсах и (или) состояниями
защищенности (конфигурационные
сведения, сведения об уязвимостях и т. п.);
возможность
настройки параметров проводимого анализа;
проведение
поиска не обнаруженных ранее компьютерных инцидентов с использованием новых правил обнаружения;
глубину ретроспективного анализа событий ИБ не менее шести месяцев.
|
7.
При осуществлении повторного
анализа ранее зарегистрированных событий
ИБ и выявления на основе такого анализа не обнаруженных ранее
компьютерных инцидентов средства обнаружения должны
обеспечивать:
выявление связей и зависимостей между событиями
ИБ, зарегистрированными
в установленном интервале
времени, и вновь появившейся любой дополнительной информацией, позволяющей
идентифицировать контролируемые информационные ресурсы (далее - справочная информация);
выявление связей и
зависимостей между событиями
ИБ, зарегистрированными в установленном интервале
времени, и новыми или измененными методами
(способами) выявления компьютерных инцидентов;
выявление связей и
зависимостей между событиями
ИБ и полученными ранее сведениями о контролируемых информационных ресурсах и (или) о состоянии защищенности;
возможность
настройки параметров проводимого
анализа;
проведение
поиска не обнаруженных ранее
компьютерных инцидентов с
использованием новых методов
(способов) выявления компьютерных
инцидентов;
хранение агрегированных
событий ИБ не менее шести месяцев.
|
8.
|
IV. Требования к средствам в части
предупреждения компьютерных атак
8.
Средства в части предупреждения компьютерных атак должны обладать следующими
функциональными возможностями:
сбор
и обработка сведений об инфраструктуре контролируемых информационных ресурсов и справочной информации;
сбор
и обработка сведений об уязвимостях и недостатках в настройке ПО,
используемого на объектах контролируемых
информационных ресурсов;
учет
угроз безопасности информации.
|
IV. Требования к средствам
предупреждения
8.
Средства предупреждения должны обладать следующими функциональными возможностями:
сбор
и обработка сведений об инфраструктуре контролируемых информационных систем, информационно-телекоммуникационных сетей и
автоматизированных систем управления, находящихся на территории Российской
Федерации, в дипломатических представительствах и (или) консульских
учреждениях Российской Федерации (далее –
информационные ресурсы) и справочной информации;
сбор
и обработка сведений об уязвимостях и недостатках в настройке программного обеспечения (далее – ПО), используемого в контролируемых информационных
ресурсах;
новый абзац
учет
угроз безопасности информации.
|
IV. Требования к средствам
предупреждения
8.
Средства предупреждения должны обладать следующими функциями:
сбор и обработка сведений об
инфраструктуре контролируемых информационных ресурсов и справочной информации;
сбор и обработка сведений об
уязвимостях и недостатках в настройке программного
обеспечения (далее - ПО),
используемого в контролируемых информационных ресурсах;
формирование рекомендаций
по минимизации угроз безопасности информации;
учет угроз безопасности информации.
|
9.
|
9.
При осуществлении сбора и обработки сведений об инфраструктуре контролируемых
информационных ресурсов и справочной информации средства должны обеспечивать:
9.1.
Сбор и обработку конфигурационной информации:
об
объектах, функционирующих в составе контролируемых информационных
ресурсов;
о
сетевых моделях контролируемых информационных
ресурсов;
о контролируемых информационных ресурсах;
об
источниках событий ИБ, используемых в составе
контролируемых информационных ресурсов;
о
телекоммуникационном оборудовании, используемом в
контролируемых информационных ресурсах.
9.2.
Сбор и обработку справочной
информации:
о
репутации IP-адресов, доменных имен, DNS-серверов и почтовых серверов;
о
владельцах IP-адресов, доменных имен, DNS-серверов и почтовых серверов;
о
местоположении и географической принадлежности IP-адресов;
об
известных уязвимостях;
о правилах обнаружения компьютерных атак (сведения о сигнатурах);
о
бот-сетях, включая сведения об их управляющих серверах.
9.3. Возможность
расширения перечня используемой информации об инфраструктуре контролируемых
информационных ресурсов и справочной информации.
9.4. Возможность добавления, просмотра и
изменения сведений об инфраструктуре и справочной информации.
|
9.
При осуществлении сбора и обработки сведений об инфраструктуре контролируемых
информационных ресурсов и справочной информации средства предупреждения должны обеспечивать:
9.1.
Сбор и обработку сведений об инфраструктуре
контролируемых информационных ресурсов, включающих информацию:
об
объектах;
о
сетевых моделях;
об
источниках событий ИБ;
о телекоммуникационном оборудовании.
9.2.
Сбор и обработку справочной информации:
о
репутации IP-адресов, доменных имен, DNS-серверов и почтовых
серверов;
о
владельцах IP-адресов, доменных имен, DNS-серверов и почтовых
серверов;
о
местоположении и географической принадлежности IP-адресов;
об
известных уязвимостях;
о
бот-сетях, включая сведения об их управляющих
серверах.
пункт 9.3. исключен
9.3. Возможность добавления, просмотра и изменения
сведений об инфраструктуре контролируемых
информационных ресурсов и справочной информации.
|
9.
При осуществлении сбора и обработки сведений об инфраструктуре
контролируемых информационных ресурсов и справочной информации средства предупреждения
должны обеспечивать:
9.1.
Сбор и обработку сведений об инфраструктуре
контролируемых информационных ресурсов, включающих информацию:
об архитектуре и объектах контролируемых
информационных ресурсов (сетевые адреса
и имена, наименования и версии используемого ПО);
о
выполняющихся на объектах контролируемых информационных ресурсов сетевых службах;
об
источниках событий ИБ.
абзац исключен
9.2.
Сбор и обработку справочной информации:
о показателе доверия (репутации) сетевых
адресов, доменных имен, серверов электронной
почты, серверов доменных
имен;
о
владельцах сетевых адресов, доменных имен, серверов электронной
почты, серверов доменных
имен;
о
местоположении и географической
принадлежности сетевых адресов;
об
известных уязвимостях используемого ПО;
о
компьютерных сетях, состоящих из управляемых с
использованием вредоносного ПО средств вычислительной техники, включая
сведения об их управляющих серверах.
9.3. Возможность
добавления, просмотра и изменения
сведений об инфраструктуре контролируемых информационных ресурсов и справочной информации.
|
10.
|
10.
При осуществлении сбора и обработки сведений об уязвимостях и недостатках в
настройке ПО, используемого на объектах
контролируемых информационных ресурсов
средства должны обеспечивать:
сбор
и обработку данных о дате и времени проведения исследования контролируемых
информационных ресурсов;
сбор
и обработку сведений об исследуемых объектах контролируемого информационного
ресурса (сетевые адреса и имена объектов, наименования и версии операционных
систем, под управлением которых функционируют объекты);
формирование
перечня выполняющихся сетевых служб (для каждого объекта контролируемого
информационного ресурса);
формирование
перечня выявленных уязвимостей и недостатков в настройке ПО (для каждого
объекта контролируемого информационного ресурса);
возможность
формирования обобщенных сведений, представляемых в Национальный
координационный центр по компьютерным инцидентам (далее – НКЦКИ).
|
10. При осуществлении сбора и обработки сведений об
уязвимостях и недостатках в настройке ПО, используемого в
контролируемых
информационных ресурсах, средства предупреждения должны обеспечивать:
сбор и обработку
данных о дате и времени проведения исследования контролируемых информационных
ресурсов;
сбор и обработку сведений об исследуемых
объектах контролируемого информационного ресурса (сетевые адреса и имена
объектов, наименования и версии операционных систем, под управлением которых
функционируют объекты и другое);
формирование перечня выполняющихся
сетевых служб (для каждого объекта контролируемого информационного ресурса);
формирование перечня выявленных уязвимостей и
недостатков в настройке ПО (для каждого объекта контролируемого
информационного ресурса);
возможность формирования
обобщенных сведений, представляемых в Национальный координационный центр по
компьютерным инцидентам (далее – НКЦКИ).
|
10. При
осуществлении сбора и обработки сведений об уязвимостях и недостатках
в настройке ПО, используемого в
контролируемых
информационных ресурсах, средства предупреждения
должны обеспечивать:
сбор данных о
дате и времени
проведения
исследования контролируемых
информационных ресурсов;
абзац
исключен
абзац
исключен
формирование перечня
выявленных уязвимостей и
недостатков в настройке используемого ПО (для
каждого объекта контролируемого информационного ресурса);
возможность статистической и аналитической обработки полученной информации.
|
11.
|
новый пункт 11
|
новый пункт 11
|
11. Формируемые рекомендации по минимизации угроз безопасности
информации должны содержать перечень
мер, направленных на устранение
уязвимостей и недостатков в настройке ПО, используемого в контролируемых
информационных ресурсах.
|
12.
|
11.
При осуществлении учета угроз
безопасности информации средства должны обеспечивать:
создание
и изменение формализованной записи об угрозе
безопасности информации в ручном режиме;
создание
формализованной записи
об угрозе безопасности
информации в автоматизированном режиме посредством
взаимодействия с другими автоматизированными системами;
создание формализованной записи об угрозе безопасности информации
в автоматизированном режиме посредством взаимодействия с НКЦКИ;
автоматизированный обмен информацией об угрозах безопасности
информации с НКЦКИ;
создание и изменение инструкций по обработке угроз безопасности
информации;
построение рабочих процессов обработки сообщений об угрозах
безопасности информации и запросов от НКЦКИ.
|
11. При осуществлении учета
угроз безопасности информации средства предупреждения
должны обеспечивать:
создание
и изменение записи,
содержащей уведомление об угрозе безопасности информации;
создание записи,
содержащей уведомление об угрозе безопасности информации, в автоматизированном
режиме путем обмена информацией с НКЦКИ и
иными системами
учета угроз безопасности информации;
создание и изменение типовых сценариев реагирования на компьютерные инциденты, связанные с
угрозами безопасности информации, включающих в себя рекомендованный порядок принятия решений, очередность выполняемых действий
и способы организации совместных действий сотрудников (работников) субъекта КИИ и (или) работников привлекаемой в
соответствии с законодательством Российской Федерации субъектом КИИ организации, осуществляющей лицензируемую деятельность в области
защиты информации, участвующих в реагировании на компьютерный
инцидент и ликвидации последствий
компьютерных атак;
создание и изменение типовых сценариев обработки запросов, поступающих из НКЦКИ.
|
12. При осуществлении учета угроз безопасности информации средства предупреждения
должны обеспечивать:
создание и изменение записи,
содержащей уведомление об угрозе безопасности информации в форматах, обрабатываемых
технической инфраструктурой Национального координационного центра по
компьютерным инцидентам (далее - НКЦКИ),
предназначенной для отправки, получения, обработки и
хранения уведомлений и запросов в
рамках информационного взаимодействия
с субъектами критической
информационной инфраструктуры, а также с
иными не являющимися субъектами критической информационной инфраструктуры
органами и организациями, в том
числе иностранными и международными;
абзац исключен
создание и изменение инструкций
по реагированию на компьютерные инциденты, связанные с
угрозами безопасности информации, включающих
порядок принятия решений, очередность
выполняемых действий и способы
организации совместных действий участвующих в мероприятиях по реагированию на компьютерные инциденты и ликвидации
последствий компьютерных атак работников субъекта критической информационной инфраструктуры и (или) работников привлекаемой в
соответствии с законодательством Российской Федерации субъектом критической информационной инфраструктуры организации, осуществляющей
лицензируемую деятельность в области защиты информации;
создание и изменение инструкций по
обработке запросов и уведомлений, поступающих из НКЦКИ.
|
13.
|
V. Требования к средствам в части ликвидации
последствий компьютерных атак и реагирования на компьютерные инциденты
12.
Средства в части ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты
должны обладать следующими функциональными возможностями:
учет
и обработка компьютерных инцидентов;
управление
процессами реагирования на компьютерные инциденты и ликвидации последствий
компьютерных атак;
обеспечение
взаимодействия с НКЦКИ;
информационно-аналитическое
сопровождение.
|
V. Требования к средствам ликвидации
последствий
12. Средства ликвидации
последствий должны обладать следующими функциональными
возможностями:
учет
и обработка компьютерных инцидентов;
управление
процессами реагирования на компьютерные инциденты и ликвидации последствий
компьютерных атак;
осуществление взаимодействия с НКЦКИ;
информационно-аналитическое
сопровождение.
|
V. Требования к средствам ликвидации
последствий
13. Средства ликвидации последствий должны обладать следующими функциями:
учет и обработка компьютерных инцидентов;
управление процессами реагирования на компьютерные инциденты и ликвидации последствий компьютерных атак;
взаимодействие
с НКЦКИ посредством
использования технической инфраструктуры
НКЦКИ, предназначенной для
отправки, получения, обработки и хранения уведомлений и запросов в рамках
информационного взаимодействия с
субъектами критической информационной инфраструктуры, а также с иными не являющимися субъектами
критической информационной инфраструктуры органами и организациями, в том числе иностранными и
международными;
информационно-аналитическое сопровождение пользователей.
|
14.
|
13. При осуществлении учета и обработки
компьютерных инцидентов средства должны обеспечивать:
создание
и изменение типов карточек компьютерных инцидентов, определение состава
полей этих карточек и требований к заполнению
полей;
определение статусной модели компьютерных инцидентов в
зависимости от типа инцидента;
назначение категорий и приоритетов компьютерных инцидентов по
заданным критериям;
создание и изменение соглашений об уровне услуг по обработке
компьютерных инцидентов;
создание и изменение правил по обработке компьютерных инцидентов;
управление доступом к данным о компьютерном инциденте;
создание формализованной карточки компьютерного инцидента в
ручном режиме;
создание формализованной карточки компьютерного инцидента в
автоматизированном режиме посредством взаимодействия с другими
автоматизированными системами и НКЦКИ;
создание формализованной карточки компьютерного инцидента из
поступившего формализованного сообщения об угрозе безопасности информации;
учет
формализованных карточек компьютерных
инцидентов;
фильтрацию,
сортировку и поиск хранимых карточек
компьютерных инцидентов и сведений об инцидентах;
агрегирование записей о компьютерных инцидентах по заданным
критериям;
регистрацию действий администраторов как по настройке средств,
так и по процессу работы со сведениями о компьютерных инцидентах;
отслеживание времени внесения и сроков хранения данных, а также
источников этих данных;
создание и изменение правил по обработке компьютерных инцидентов
и ликвидации последствий компьютерных атак.
|
13. При осуществлении учета и обработки компьютерных инцидентов
средства ликвидации последствий
должны обеспечивать:
создание
и изменение формализованных описаний (далее –
карточка) компьютерных инцидентов, определение типов компьютерных инцидентов, определение
состава полей карточек и требований к их
заполнению в соответствии с типом компьютерного
инцидента;
автоматическое создание карточки компьютерного инцидента на основе
уведомления об угрозе безопасности информации либо при выявлении события ИБ,
в котором содержатся индикаторы
компрометации для
контролируемых информационных ресурсов;
запись о текущей стадии процесса реагирования на компьютерные
инциденты (например, стадия приема сообщения о компьютерном
инциденте, стадия сбора первичных сведений о компьютерном инциденте, стадия
локализации компьютерного инцидента, стадия сбора свидетельств для расследования компьютерного инцидента
и т. п.) в зависимости от типа компьютерного
инцидента;
запись о присвоении категорий опасности и (или) приоритетов
компьютерных инцидентов на основе критериев, задаваемых по значениям полей
карточек компьютерных инцидентов;
регистрацию и учет карточек
компьютерных инцидентов;
фильтрацию,
сортировку и поиск карточек компьютерных инцидентов по
значению полей карточек;
объединение карточек однотипных
компьютерных инцидентов на основе критериев, применяемых к значениям полей
карточек.
|
14. При осуществлении учета и
обработки компьютерных инцидентов средства
ликвидации последствий
должны обеспечивать:
создание и изменение формализованных описаний (далее - карточка) компьютерных инцидентов, определение типов
компьютерных инцидентов, определение
состава полей карточек и требований к их
заполнению в соответствии с типом
компьютерного инцидента;
автоматическое создание
карточки компьютерного инцидента на
основе уведомления об угрозе
безопасности информации либо при
выявлении события ИБ, в
котором содержатся признаки компьютерных атак для контролируемых информационных ресурсов;
запись о текущей стадии
процесса реагирования на компьютерные инциденты (стадия приема сообщения о компьютерном
инциденте, стадия сбора первичных сведений о компьютерном
инциденте, стадия локализации
компьютерного инцидента, стадия сбора
сведений для
расследования компьютерного инцидента) в зависимости от типа
компьютерного инцидента;
запись о присвоении категорий
опасности и (или) определение приоритетов
компьютерных инцидентов на основе критериев, задаваемых по значениям полей
карточек компьютерных инцидентов;
регистрацию и учет карточек компьютерных
инцидентов;
фильтрацию,
сортировку и поиск карточек
компьютерных инцидентов по значениям полей карточек;
объединение карточек компьютерных инцидентов на основе критериев, применяемых к
значениям полей карточек.
|
15.
|
14.
При осуществлении управления процессами
реагирования на компьютерные инциденты и ликвидации последствий компьютерных
атак средства должны обеспечивать:
обогащение данных
компьютерного инцидента данными из внешних систем и
предоставление контекста компьютерного инцидента, включая сведения о
программных и конфигурационных уязвимостях, которые содержатся в реквизитах
компьютерного инцидента;
применение типовых сценариев реагирования на компьютерные инциденты и
ликвидации последствий компьютерных атак, а также задание правил их применимости на основании сведений об инциденте;
создание задач для внешних систем и сервисов с возможностью
экспорта, импорта и отслеживания статуса этих задач посредством интерфейса
прикладного программирования;
уведомление о регистрации новых компьютерных инцидентов,
завершении длительных задач, а также об изменении их состояния;
поддержку принятия управленческого решения при реагировании на
угрозу безопасности информации или компьютерный инцидент;
поддержку координации
действий сил и использования средств
реагирования на компьютерный инцидент;
контроль соглашений об уровне услуг по обработке компьютерных
инцидентов и контроль устранения компьютерных инцидентов.
|
14. Для обеспечения управления
процессами реагирования на
компьютерные инциденты и ликвидации последствий компьютерных атак средства ликвидации последствий должны обеспечивать:
возможность включения в карточку компьютерного инцидента дополнительных
сведений, связанных с компьютерным инцидентом и зарегистрированных в процессе
реагирования на компьютерный инцидент и ликвидации последствий компьютерной
атаки, в том числе сообщений пользователей контролируемых информационных
ресурсов, сведений о предпринятых действиях, технических данных, необходимых
для расследования обстоятельств компьютерного инцидента и т. п.;
возможность назначения для карточки компьютерного инцидента шаблонного или специализированного сценария реагирования на компьютерный инцидент и
ликвидации последствий компьютерных атак, а также задания правил их применимости на основании сведений о компьютерном инциденте;
формирование электронных сообщений для организации взаимодействия
и координации действий сотрудников (работников) субъекта КИИ и (или) работников
привлекаемой в соответствии с законодательством Российской Федерации
субъектом КИИ организации, осуществляющей лицензируемую деятельность в
области защиты информации, участвующих в реагировании на компьютерный инцидент и
ликвидации последствий компьютерной атаки.
|
15. Для
обеспечения управления
процессами реагирования на компьютерные
инциденты и ликвидации последствий
компьютерных атак средства ликвидации последствий должны обеспечивать:
возможность включения в
карточку компьютерного инцидента дополнительных сведений,
связанных с компьютерным инцидентом и зарегистрированных
в процессе реагирования на
компьютерный инцидент и ликвидации последствий компьютерной атаки, в том числе сообщений пользователей
контролируемых информационных ресурсов, сведений о предпринятых действиях,
технических данных, необходимых для расследования обстоятельств компьютерного
инцидента;
возможность назначения для карточки компьютерного инцидента инструкций по реагированию на
компьютерный инцидент, а также задания
правил их применимости на основании сведений о компьютерном
инциденте;
формирование электронных сообщений
для организации взаимодействия и координации действий работников субъекта критической
информационной инфраструктуры и (или)
работников привлекаемой в соответствии с законодательством Российской
Федерации субъектом критической информационной
инфраструктуры организации, осуществляющей
лицензируемую деятельность в области защиты информации, участвующих в
реагировании на компьютерный инцидент и ликвидации последствий компьютерной атаки.
|
16.
|
15.
При осуществлении взаимодействия с НКЦКИ средства должны обеспечивать:
автоматизированный
обмен сведениями согласно перечню информации о компьютерных инцидентах, представляемой
в государственную систему обнаружения, предупреждения и ликвидации
последствий компьютерных атак на информационные ресурсы Российской Федерации;
учет
формализованных карточек компьютерных
инцидентов в соответствии с системой идентификации НКЦКИ;
оперативную коммуникацию со специалистами НКЦКИ.
|
15. При осуществлении взаимодействия
с НКЦКИ средства ликвидации последствий должны
обеспечивать:
автоматизированный
обмен сведениями согласно
перечню информации о
компьютерных инцидентах, представляемой в государственную систему
обнаружения, предупреждения и ликвидации последствий компьютерных атак на
информационные ресурсы Российской Федерации;
учет
карточек компьютерных инцидентов в соответствии с системой
идентификации НКЦКИ.
|
16. При взаимодействии с НКЦКИ средства ликвидации
последствий должны
обеспечивать:
автоматизированный
обмен информацией,
представляемой в государственную систему обнаружения,
предупреждения и ликвидации последствий компьютерных атак на информационные
ресурсы Российской Федерации, указанной в
пункте 5 Перечня информации, представляемой в государственную
систему обнаружения, предупреждения и ликвидации последствий компьютерных
атак на информационные ресурсы Российской Федерации,
утвержденного приказом ФСБ России
от 24 июля 2018 г. № 367;
учет карточек компьютерных инцидентов в соответствии с
идентификацией НКЦКИ.
|
17.
|
16. При осуществлении
информационно-аналитического сопровождения средства должны обеспечивать:
интерактивное
формирование выборок данных, основанных на
комбинациях атрибутов и объектов из карточек компьютерных инцидентов, сообщений об угрозах безопасности информации и выходящих за рамки стандартных отчетов;
реализацию расчетов прогнозных значений анализируемых показателей
на основе ретроспективных данных из карточек компьютерных инцидентов и
сообщений об угрозах безопасности информации.
|
16. При осуществлении
информационно-аналитического сопровождения средства ликвидации
последствий должны обеспечивать интерактивное
формирование выборок данных, основанных на значениях
полей карточек компьютерных инцидентов, уведомлений
об актуальных угрозах безопасности информации
и справочной информации.
|
17.
При осуществлении информационно-аналитического сопровождения
средства ликвидации
последствий должны
обеспечивать формирование выборок
данных,
основанных на значениях полей
карточек компьютерных инцидентов, уведомлений
об актуальных угрозах безопасности
информации и справочной информации.
|
18.
|
VI. Требования
к средствам поиска признаков компьютерных атак в
сетях электросвязи, используемых для организации взаимодействия объектов КИИ
17. Средства поиска
признаков компьютерных атак в сетях электросвязи, используемых для
организации взаимодействия объектов КИИ должны обеспечивать:
контроль изменений
параметров
настроек
телекоммуникационного оборудования сети электросвязи;
контроль изменений
параметров
настроек систем управления
телекоммуникационным оборудованием и сетями электросвязи;
обнаружение
в сети электросвязи признаков управления телекоммуникационным оборудованием;
обнаружение
признаков компьютерных атак в сети электросвязи по значениям служебных полей
(заголовков) протоколов сетевого взаимодействия, а также сбора, накопления и
статистической обработки результатов такого обнаружения;
хранение
копий трафика внутреннего сетевого взаимодействия сетей
электросвязи субъектов КИИ, использующих при
внутреннем и внешнем сетевом взаимодействии нестандартизированные протоколы
или протоколы промышленного назначения;
анализ
и выгрузку фрагментов копий трафика внутреннего
сетевого взаимодействия субъектов КИИ, использующих при
внутреннем и внешнем сетевом взаимодействии нестандартизированные протоколы
или протоколы с закрытыми спецификациями;
возможность определять векторы распределенных во времени
компьютерных атак и соотносить их с элементами как сетевой инфраструктуры, так
и технологического процесса объекта КИИ;
возможность извлечения передаваемых файлов заданного типа из
сетевого трафика;
сигнализацию и уведомление о фактах обнаружения признаков
компьютерных атак;
сигнализацию и уведомление о нарушениях штатного режима
функционирования средств;
наличие
интерфейса (интерфейсов) передачи данных о сетевом
трафике, в котором обнаружены признаки
компьютерных атак, а также результатов сбора, накопления и статистической
обработки такой информации.
|
VI. Требования
к средствам ППКА
17. Средства ППКА должны обладать следующими функциональными возможностями:
обнаружение
признаков компьютерных атак в сети электросвязи по значениям служебных полей (заголовков) протоколов сетевого взаимодействия, а
также осуществление сбора, накопления и
статистической обработки результатов такого обнаружения;
обнаружение
в сети электросвязи признаков управления телекоммуникационным оборудованием;
обнаружение изменений параметров
настроек телекоммуникационного оборудования сети электросвязи;
обнаружение изменений
параметров настроек систем управления телекоммуникационным оборудованием и
сетями электросвязи;
хранение
копий сетевого трафика, в котором были обнаружены
признаки компьютерных атак в сети
электросвязи и (или) признаки управления
телекоммуникационным оборудованием, не менее шести месяцев;
анализ
и выгрузка фрагментов копий сетевого трафика, в котором были обнаружены признаки компьютерных атак в
сети электросвязи и (или) признаки управления телекоммуникационным
оборудованием;
сигнализация и уведомление о фактах обнаружения признаков
компьютерных атак в сети электросвязи и (или)
признаков управления телекоммуникационным оборудованием;
сигнализация и уведомление о нарушениях
штатного режима функционирования средств ППКА;
наличие
интерфейса(ов) (порта(ов) передачи фрагментов копий сетевого
трафика, в котором обнаружены признаки
компьютерных атак в сети электросвязи и (или)
признаки управления телекоммуникационным оборудованием, а также
результатов сбора, накопления и статистической обработки такой информации;
возможность формирования обобщенных сведений, представляемых в НКЦКИ.
|
VI. Требования к средствам ППКА
18. Средства ППКА должны обладать следующими функциями:
обнаружение признаков компьютерных атак в сети электросвязи по
значениям служебных полей
протоколов сетевого взаимодействия, а также осуществление
сбора, накопления и статистической обработки результатов такого обнаружения;
обнаружение
в сети электросвязи признаков управления телекоммуникационным оборудованием;
обнаружение изменений параметров настроек
телекоммуникационного оборудования
сети электросвязи;
обнаружение изменений параметров настроек
систем управления
телекоммуникационным оборудованием
и сетями электросвязи;
хранение копий сетевого трафика, в котором были
обнаружены признаки компьютерных атак в сети электросвязи и (или) признаки управления телекоммуникационным оборудованием, не менее шести месяцев;
анализ и экспорт фрагментов копий
сетевого трафика, в
котором были обнаружены признаки компьютерных атак в сети электросвязи и (или)
признаки управления
телекоммуникационным оборудованием;
уведомление о фактах
обнаружения
признаков компьютерных атак в
сети электросвязи и (или) признаков управления
телекоммуникационным оборудованием;
уведомление о фактах нарушения режимов функционирования средств ППКА;
наличие интерфейса(ов) передачи
фрагментов копий сетевого трафика, в котором обнаружены признаки компьютерных атак
в сети электросвязи
и (или) признаки управления
телекоммуникационным оборудованием,
а также результатов сбора,
накопления и статистической обработки такой информации;
возможность
формирования информации, предусмотренной пунктом
5 Перечня, указанного в пункте 16
настоящих Требований.
|
19.
|
VII. Требования к средствам
криптографической защиты обмена информацией, необходимой субъектам КИИ при обнаружении,
предупреждении и (или) ликвидации последствий компьютерных атак
новый пункт 18
|
VII. Требования к средствам обмена и криптографическим
средствам защиты информации,
необходимой субъектам КИИ при обнаружении,
предупреждении и (или) ликвидации последствий компьютерных атак
18. Средства
обмена должны обеспечивать гарантированную передачу и гарантированный прием информации, необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий
компьютерных атак.
|
VII. Требования к средствам обмена и криптографическим
средствам защиты информации, необходимой субъектам критической
информационной инфраструктуры при обнаружении, предупреждении и (или)
ликвидации последствий компьютерных атак
19. Средства обмена должны обеспечивать передачу,
прием и целостность при передаче и приеме информации, необходимой субъектам критической информационной инфраструктуры при обнаружении, предупреждении и
(или) ликвидации последствий компьютерных атак.
|
20.
|
18. Средства
криптографической защиты обмена информацией,
необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации
последствий компьютерных атак, должны быть сертифицированы в системе
сертификации средств защиты информации.
|
19. Криптографические средства защиты информации,
необходимой субъектам КИИ при обнаружении,
предупреждении и (или) ликвидации последствий компьютерных атак, должны быть
сертифицированы в системе сертификации средств защиты информации.
|
20. Криптографические средства защиты информации, необходимой субъектам критической
информационной инфраструктуры при обнаружении, предупреждении и (или)
ликвидации последствий компьютерных атак, должны быть сертифицированы в системе сертификации средств криптографической защиты информации.
|
21.
|
VIII. Требования к средствам в части
реализации функций собственной безопасности
19. Технические, программные, программно-аппаратные и иные средства, предназначенные для обнаружения (в том числе для поиска
признаков компьютерных атак в сетях электросвязи, используемых для
организации взаимодействия объектов КИИ), предупреждения, ликвидации
последствий компьютерных атак, в части реализации функций собственной
безопасности должны обеспечивать:
идентификацию и аутентификацию
администраторов;
разграничение
прав доступа к информации и уровней доступа к функциям;
регистрацию событий ИБ;
обновление
программных компонентов и служебных баз данных;
самотестирование
и контроль целостности ПО;
резервирование
и восстановление средств.
19.1. При осуществлении идентификации и
аутентификации администраторов средства должны обеспечивать:
однозначную идентификацию администраторов;
аутентификацию
администраторов с использованием паролей (в том числе временного действия) и
(или) аппаратных средств аутентификации;
хранение
паролей в закрытом виде;
автоматическое
информирование о необходимости смены паролей.
19.2. При осуществлении
разграничения прав доступа к информации и уровней доступа к функциям средства
должны обеспечивать:
разграничение
доступа на основе политик безопасности;
возможность
блокирования и повторной активации учетных записей;
поддержку
функций создания, редактирования и удаления пользовательских ролей и
возможности настройки прав доступа для каждой роли;
блокирование
доступа при превышении значения максимального
периода отсутствия активности;
сигнализацию о несанкционированных попытках доступа к управлению
средствами;
журналирование
всех действий администраторов с момента авторизации.
19.3. При осуществлении регистрации событий ИБ средства
должны обеспечивать:
возможность
определения перечня событий ИБ, подлежащих регистрации, и сроков хранения соответствующих записей в журналах
регистрации;
возможность
регистрации как минимум следующих связанных с функционированием средств
сведений: идентификатора администратора, времени
входа и выхода, запуска (завершения) программ и процессов, связанных с
реализацией функций безопасности средств, интерфейса
(порта) подключения, команды управления, попыток неудачной
аутентификации, данных о сбоях и неисправностях в работе средств;
ведение
электронных журналов учета технического состояния, содержащего следующие
обязательные поля: информация о состоянии интерфейсов (портов), информация об
ошибках работы оборудования
с их классификацией,
информация о загрузке и инициализации программно-аппаратных
средств и их останова;
защиту
электронных журналов регистрации от стирания
и редактирования;
автоматическое
извещение о заполнении электронного журнала регистрации с возможностью его сохранения на внешнем носителе;
ведение электронных журналов регистрации с привязкой к единому
источнику времени.
19.4. При осуществлении обновления программных
компонентов и служебных баз данных средства должны обеспечивать:
обновление
без потери информации, необходимой для функционирования средств;
обновление
только администраторами;
возврат
к предыдущему состоянию в случае сбоя процесса обновления (данное положение
может быть выполнено в том числе путем осуществления предварительного
резервного копирования и последующего восстановления).
19.6. При
осуществлении резервирования и восстановления средства должны обеспечивать:
возможность
создания резервной копии конфигурационных данных на внешнем носителе;
возможность
создания резервной копии ПО на внешнем носителе;
возможность
самовосстановления работоспособности при обнаружении критических ошибок в
процессе функционирования.
19.5.
При осуществлении самотестирования и
контроля целостности ПО средства должны обеспечивать:
контроль
целостности ПО и конфигурационных файлов при загрузке, во время
функционирования и по команде администратора;
возможность
штатного самотестирования ПО в процессе функционирования с регистрацией
указанной информации в электронном журнале регистрации.
|
VIII. Требования к средствам ГосСОПКА в части реализации функций собственной безопасности
20. Средства ГосСОПКА в части реализации функции собственной безопасности должны обладать следующими функциональными возможностями:
идентификация и аутентификация администраторов;
разграничение
прав доступа к информации и уровней доступа к функциям;
регистрация событий ИБ;
обновление
программных компонентов и служебных баз данных;
резервирование
и восстановление;
синхронизация от единого источника времени;
самотестирование и контроль
целостности ПО (только для средств ППКА).
20.1. При осуществлении идентификации и
аутентификации администраторов средства ГосСОПКА должны обеспечивать:
аутентификацию
администраторов с использованием паролей (в
том числе временного действия) и (или) аппаратных средств аутентификации;
хранение
паролей в закрытом виде;
автоматическое
информирование о необходимости смены паролей.
20.2. При осуществлении разграничения прав доступа
к информации и уровней доступа к функциям
средства ГосСОПКА должны обеспечивать:
разграничение прав доступа на основе
политик безопасности;
возможность
блокирования и повторной активации учетных записей;
поддержку
функций создания, редактирования и удаления пользовательских ролей и
возможности настройки прав доступа для каждой роли;
блокирование
сессии доступа при превышении значения максимального периода отсутствия активности;
уведомление о неудачных попытках доступа к управлению средствами ГосСОПКА;
журналирование всех
действий администраторов с момента
авторизации.
20.3. При осуществлении регистрации событий ИБ
средства ГосСОПКА должны обеспечивать:
возможность
определения перечня событий ИБ, подлежащих регистрации, и хранения
соответствующих записей в электронных регистрационных журналах
с возможностью корректировки сроков;
возможность
регистрации как минимум следующих связанных с
функционированием средств ГосСОПКА сведений:
идентификатора администратора, времени авторизации,
запуска (завершения)
программ и процессов, связанных с реализацией функций безопасности средств ГосСОПКА, команды управления, попыток неудачной аутентификации, данных о сбоях и неисправностях
в работе средств ГосСОПКА;
ведение
электронных регистрационных журналов учета
технического состояния, содержащих следующие обязательные
поля: информация о состоянии интерфейсов (портов), информация об ошибках в
работе средств ГосСОПКА с их классификацией,
информация о загрузке и инициализации средств ГосСОПКА
и их остановки (только для средств ППКА);
защиту
электронных регистрационных журналов от стирания и редактирования (только
для средств ППКА);
автоматическое
извещение о заполнении электронного регистрационного журнала
с возможностью
его сохранения на внешнем носителе информации (только
для средств ППКА).
20.4. При осуществлении обновления программных
компонентов и служебных баз данных средства ГосСОПКА
должны обеспечивать:
обновление
без потери информации, необходимой для функционирования средств, а также информации о компьютерных инцидентах и событиях
ИБ;
обновление
только администраторами;
возврат к предыдущему состоянию в случае сбоя процесса обновления (данное
положение может быть выполнено в том числе путем
осуществления предварительного резервного
копирования и последующего восстановления).
20.5. При
осуществлении резервирования и восстановления средства ГосСОПКА должны обеспечивать:
возможность
создания резервной копии конфигурационных данных на внешнем носителе;
возможность
создания резервной копии ПО на внешнем носителе;
возможность
самовосстановления работоспособности при обнаружении критических ошибок в
процессе функционирования (только для средств ППКА).
20.6.
При осуществлении самотестирования и контроля
целостности ПО средства ППКА должны
обеспечивать:
контроль целостности ПО и
конфигурационных файлов при загрузке, во время функционирования и по команде
администратора;
возможность
штатного самотестирования ПО в процессе функционирования с регистрацией указанной
информации в электронном регистрационном
журнале.
|
VIII. Требования к средствам ГосСОПКА в части реализации функций безопасности
21. Средства ГосСОПКА в части
реализации функций безопасности должны
обеспечивать:
идентификацию и аутентификацию пользователей;
разграничение прав доступа к информации и функциям;
регистрацию
событий ИБ;
обновление программных компонентов и служебных баз данных;
резервирование и восстановление своей
работоспособности;
синхронизацию системного времени и корректировку временных
значений (корректировку настроек часовых поясов);
контроль целостности
ПО.
21.1. При осуществлении идентификации
и аутентификации пользователей средства ГосСОПКА
должны обеспечивать:
аутентификацию пользователей с
использованием паролей (в том
числе временного действия) и (или)
аппаратных средств аутентификации;
хранение
паролей в зашифрованном виде;
автоматическое
информирование о необходимости смены паролей.
21.2. При осуществлении разграничения
прав доступа к информации и
функциям средства ГосСОПКА должны
обеспечивать:
абзац
исключен
поддержку функций создания, редактирования и удаления пользовательских ролей и возможность настройки
прав доступа для каждой роли;
возможность
блокирования и повторной активации учетных записей;
блокирование сессии доступа при
превышении задаваемого значения временного периода отсутствия активности;
уведомление о неудачных
попытках доступа к управлению средствами ГосСОПКА;
запись всех действий
пользователей
с момента авторизации в электронный журнал.
21.3. При осуществлении регистрации
событий ИБ средства ГосСОПКА должны обеспечивать:
возможность
определения перечня событий ИБ, подлежащих регистрации,
и хранения соответствующих записей в
электронных журналах с возможностью
корректировки сроков;
возможность регистрации
следующих связанных с
функционированием средств ГосСОПКА сведений:
идентификатора пользователя, времени
авторизации,
запуска (завершения)
программ и процессов, связанных с реализацией функций безопасности средств ГосСОПКА, команды
управления, неудачных попыток аутентификации, данных о сбоях и неисправностях в работе
средств ГосСОПКА;
ведение
электронных журналов учета технического состояния, содержащих следующие поля: информация
о состоянии интерфейсов (портов),
информация об ошибках в работе средств ГосСОПКА
с их классификацией, информация о загрузке
и инициализации средств ГосСОПКА и их
остановке (только для средств ППКА);
защиту электронных журналов
от редактирования и удаления содержащейся в них информации (только для средств ППКА);
автоматическое
уведомление
о заполнении электронного журнала
и возможность его сохранения на
внешнем носителе информации (только для средств ППКА).
21.4. При осуществлении обновления
программных компонентов и служебных баз данных средства ГосСОПКА должны обеспечивать:
обновление без потери информации, необходимой
для функционирования средств, а также информации о
компьютерных инцидентах и событиях ИБ;
обновление
только пользователями,
ответственными за управление (администрирование) средств ГосСОПКА;
восстановление работоспособности в случае
сбоя процесса обновления (в том числе осуществление предварительного резервного копирования и
последующее восстановление).
21.5.
При осуществлении резервирования и восстановления своей работоспособности
средства ГосСОПКА
должны обеспечивать:
возможность
создания резервной копии конфигурационных данных на внешнем
носителе;
возможность
создания резервной копии ПО на
внешнем носителе;
возможность
самовосстановления
работоспособности при обнаружении
критических ошибок в процессе
функционирования (только для средств ППКА).
21.6.
При осуществлении контроля целостности ПО средства ГосСОПКА
должны обеспечивать:
проверку целостности ПО и конфигурационных файлов при загрузке, во время
функционирования и по команде пользователя, ответственного за управление (администрирование) средством ГосСОПКА;
возможность
штатного самотестирования ПО в процессе функционирования;
регистрацию
в электронном журнале результатов проведения контроля
целостности ПО.
|
22.
|
IX. Требования к средствам в части реализации визуализации, построения сводных
отчетов и хранения информации
20. Технические, программные, программно-аппаратные и иные средства, предназначенные для обнаружения (в том числе для поиска признаков компьютерных атак в
сетях электросвязи, используемых для организации взаимодействия объектов
КИИ), предупреждения, ликвидации
последствий компьютерных атак, в части
реализации визуализации, построения сводных отчетов и хранения информации
должны обеспечивать:
20.1. Представление
сведений:
о
событиях ИБ;
об
обнаруженных компьютерных инцидентах;
об
уязвимостях и недостатках в настройке объектов контролируемых информационных
ресурсов;
об
инфраструктуре контролируемых информационных ресурсов в виде схем;
в
виде графиков и (или) диаграмм, содержащих функции перехода от
визуализированного представления сведений о компьютерных инцидентах к
соответствующей им информации;
хранящихся
в базе данных;
справочной
и другой необходимой информации.
20.2. Построение сводных отчетов путем реализации
следующих возможностей:
построение
отчетов с использованием таблиц, графиков, диаграмм и гистограмм, а также их
визуализации на основе полученных данных;
выбор
параметров, по которым строятся таблицы, графики, диаграммы и гистограммы в
отчетах;
экспорт
отчетов;
автоматическое
формирование отчетов по расписанию, а также их автоматическая отправка в
адреса.
20.3. Надежное и достоверное хранение загружаемой
информации в течение заданного периода времени и постоянную доступность к
ней, а также возможность экспорта хранящейся информации в исходном и в
нормализованном виде.
|
IX. Дополнительные
требования к средствам обнаружения, средствам
предупреждения и средствам ликвидации последствий
21. К средствам обнаружения, средствам
предупреждения и средствам ликвидации
последствий дополнительно предъявляются требования в части реализации
визуализации, построения сводных отчетов и хранения информации.
Средства обнаружения, средства предупреждения и средства
ликвидации последствий должны
обеспечивать:
21.1. Визуализацию
сведений:
о
событиях ИБ;
об
обнаруженных компьютерных инцидентах;
об
уязвимостях и недостатках в настройке объектов контролируемых информационных
ресурсов;
об
инфраструктуре контролируемых информационных ресурсов в виде схем;
в виде графиков и (или) диаграмм, содержащих функции перехода от
визуализированного представления сведений о компьютерных инцидентах к
соответствующей им информации;
хранящихся
в базе данных;
справочной и другой
необходимой информации.
21.2. Построение сводных отчетов путем реализации
следующих возможностей:
построение
отчетов с использованием таблиц, графиков,
диаграмм и гистограмм, а также их визуализации на основе полученных данных;
выбор
параметров, по которым строятся таблицы,
графики, диаграммы и гистограммы в отчетах;
экспорт
отчетов;
автоматическое
формирование отчетов по расписанию, а также их автоматическая отправка в адреса.
21.3. Надежное и
достоверное хранение загружаемой информации в течение заданного периода времени и постоянную доступность к
ней, а также возможность экспорта хранящейся информации в исходном и в нормализованном виде.
|
IX. Требования к средствам обнаружения, средствам предупреждения и средствам
ликвидации последствий в части реализации
визуализации, построения сводных отчетов и хранения информации
22. К средствам обнаружения,
средствам предупреждения и средствам ликвидации
последствий предъявляются требования
в части реализации визуализации,
построения сводных отчетов и хранения информации.
Средства обнаружения, средства предупреждения и
средства ликвидации последствий должны обеспечивать:
22.1. Визуализацию в виде таблиц (списков, схем, графиков, диаграмм) сведений:
о
событиях ИБ;
об
обнаруженных компьютерных инцидентах;
об
уязвимостях и недостатках в
настройке ПО, используемого в контролируемых информационных ресурсах;
об
инфраструктуре контролируемых
информационных ресурсов;
абзац исключен
хранящихся
в базе данных;
содержащих справочную
и другую необходимую информацию.
22.2. Построение сводных отчетов
путем реализации следующих функций:
создание таблиц (списков, схем,
графиков, диаграмм), а также их визуализация
на основе полученных данных;
выбор параметров, по которым строятся таблицы (списки, схемы, графики, диаграммы) в отчетах;
экспорт отчетов;
автоматическое формирование отчетов по расписанию, а также
их автоматическое направление назначаемым
адресатам.
22.3. Хранение загружаемой
информации в течение установленного периода
времени и постоянный доступ к ней, а также возможность экспорта хранящейся
информации, в том числе в исходном виде.
|
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
Комментариев нет:
Отправить комментарий