# ЦЗИ 12-19

## ЦЗИ.12 (О-О-Т)

> Контроль размещения и своевременного обновления на серверном и сетевом оборудовании ПО средств и систем защиты информации, прикладного ПО, ПО АС, системного ПО и сигнатурных баз средств защиты информации, в том числе с целью устранения выявленных уязвимостей защиты информации.
>
> Уровень защиты информации: 3-О, 2-О, 1-Т.

<details>

<summary>Пояснение</summary>

Мера предназначена для поддержания в актуальном состоянии состава ПО сетевого и серверного оборудования.

</details>

#### Реализация - Т

Для реализации

#### Реализация - О

Данная мера должна быть регламентирована в документе, определяющем процедуры управления установкой программного обеспечения на объектах доступа. В документе указывается периодичность контроля размещения и обновления ПО, кто выполняет контроль размещения и обновления ПО, как фиксируются результаты контроля, порядок реагирования при обнаружении нарушений. В документе рекомендуется прописать детальный график проверки точек размещения/обновления ПО группами (в одну проверку охватить весь объем - малореальная задача) таким образом, чтобы за год охватить весь набор точек проверки.

#### Проверочные процедуры (свидетельства)

Акты контроля размещения и обновления ПО сетевого и серверного оборудования. Отметки в графике проверок.

#### Типичные недостатки

Обновление прикладного ПО, ПО АС, системного ПО и сигнатурных баз средств защиты информации могут выполняться различными способами.

Автоматизировано и ежедневно – при автоматическом подключении к системе обновления.

Ручным способом – при невозможности подключения к системе обновления (например, система в изолированном сегменте).

Дополнительно к этому точек проверки состояния ПО чрезмерное количество.\
В связи с этим сложно установить разумный период, при котором возможно обеспечить организационным методом стабильное выполнение процедур проверки.

#### Компенсационные меры

Не выявлены.

#### Выявленные коллизии

Не выявлены.

## ЦЗИ.13 (О-О-Т)

> Контроль размещения и своевременного обновления на АРМ пользователей и эксплуатационного персонала ПО средств и систем защиты информации, прикладного ПО, ПО АС и системного ПО, в том числе с целью устранения выявленных уязвимостей защиты информации.
>
> Уровень защиты информации: 3-О, 2-О, 1-Т.

<details>

<summary>Пояснение</summary>

Мера предназначена для поддержания в актуальном состоянии состава ПО АРМ пользователей и эксплуатационного персонала.

</details>

#### Реализация - Т

Для реализации

#### Реализация - О

Данная мера должна быть регламентирована в документе, определяющем процедуры управления установкой программного обеспечения на объектах доступа. В документе указывается периодичность контроля размещения и обновления ПО, кто выполняет контроль размещения и обновления ПО, как фиксируются результаты контроля, порядок реагирования при обнаружении нарушений. В документе рекомендуется прописать детальный график проверки точек размещения/обновления ПО группами (в одну проверку охватить весь объем - малореальная задача) таким образом, чтобы за год охватить весь набор точек проверки.

#### Проверочные процедуры (свидетельства)

Акты контроля размещения и обновления ПО сетевого и серверного оборудования. Отметки в графике проверок.

#### Типичные недостатки

Обновление прикладного ПО, ПО АС, системного ПО и сигнатурных баз средств защиты информации могут выполняться различными способами.

Автоматизировано и ежедневно – при автоматическом подключении к системе обновления.

Ручным способом – при невозможности подключения к системе обновления (например, система в изолированном сегменте).

Дополнительно к этому точек проверки состояния ПО чрезмерное количество.\
В связи с этим сложно установить разумный период, при котором возможно обеспечить организационным методом стабильное выполнение процедур проверки.

#### Компенсационные меры

Не выявлены.

#### Выявленные коллизии

Не выявлены.

## ЦЗИ.14 (О-О-О)

> Контроль работоспособности (тестирование) и правильности функционирования АС после выполнения обновлений ПО, предусмотренного мерами ЦЗИ.12 и ЦЗИ.13 настоящей таблицы, выполняемого в сегментах разработки и тестирования.
>
> Уровень защиты информации: 3-О, 2-О, 1-О.

<details>

<summary>Пояснение</summary>

</details>

#### Реализация - О

Данная мера должна быть регламентирована в Политике/Положении обеспечения информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем.

#### Проверочные процедуры (свидетельства)

Акт контроля работоспособности (тестирование) и правильности функционирования АС после выполнения обновлений ПО на серверах, ПО средств защиты, прикладного ПО, ПО АС.\
Скриншот задачи в системах учета задач контроля работоспособности (тестирование) и правильности функционирования АС после выполнения обновлений ПО на серверах, ПО средств защиты, прикладного ПО, ПО АС.

В акте или задаче должно быть зафиксировано, в каком сегменте выполнялся контроль.

#### Типичные недостатки

Не выявлены.

#### Компенсационные меры

Не выявлены.

#### Выявленные коллизии

Не выявлены.

## ЦЗИ.15 (О-Т-Т)

> Контроль отсутствия и обеспечение оперативного устранения известных (описанных) уязвимостей защиты информации после выполнения обновлений ПО, предусмотренного мерой ЦЗИ.12 настоящей таблицы.
>
> Уровень защиты информации: 3-О, 2-Т, 1-Т.

<details>

<summary>Пояснение</summary>

В соответствии с требованиями данной меры, необходимо реализовать процедуру выявления и устранения уязвимостей защиты информации, после обновления на серверном и сетевом оборудовании ПО средств и систем защиты информации, прикладного ПО, ПО АС, системного ПО.

</details>

#### Реализация - Т

Контроль отсутствия уязвимостей защиты информации,  в соответствии с данной мерой может быть реализован за счет применения внедренных средств защиты информации – сканеров уязвимостей (например xSpider, OpenVAS и пр.).

Результатом регистрации фактов выявления уязвимостей защиты информации будет являться их фиксация в составленных отчетах о выявленных уязвимостей.

Оперативное устранение выявленных уязвимостей осуществляется на основании сформированных сканерами уязвимостей отчетов, путем составления плана мероприятий по устранению выявленных уязвимостей, с указанием ответственных за устранение лиц и сроков реализации плана.

#### Реализация - О

Требование повторного, после обновления ПО, контроля отсутствия известных (описанных) уязвимостей защиты информации должно быть указано во внутреннем документе. Контроль может выполняться вручную, проверкой текущих версий ресурсов доступа и проверкой наличия записей об уязвимостях для данной версии в публичных базах уязвимостей, Результаты контроля должны оформляться актами и распоряжениями по устранению уязвимостей (если таковые будут обнаружены) с указанием срока устранения, критичности уязвимости. Уязвимость должна быть устранена, а факт зафиксирован в акте устранения и проверен ответственным работником.

#### Проверочные процедуры (свидетельства) - Т

1\.     Отчет о выявленных уязвимостях после обновления на серверном и сетевом оборудовании ПО средств и систем защиты информации, прикладного ПО, ПО АС, системного ПО, сформированный внедренными сканерами уязвимостей.

\*Подтверждением того, что сканируемое ПО на серверном и сетевом оборудовании  действительно было обновлено, вследствие чего была запущена процедура контроля отсутствия уязвимостей – будет являться соответствующие скриншоты логов обновления ПО.

2\. Также необходимо предоставить свидетельства оперативного устранения указанных уязвимостей – планы мероприятий по устранению уязвимостей (утвержденные планы в формате внутреннего документа; соответствующие служебные записки и пр.).

#### Проверочные процедуры (свидетельства) - О

Акты проверки версий ПО на наличие уязвимостей в базах данных уязвимостей. Акты результатов устранения уязвимостей ПО.

#### Типичные недостатки

Не выявлены.

#### Компенсационные меры

Не выявлены.

#### Выявленные коллизии

Не выявлены.

## ЦЗИ.16 (О-О-О)

> Обеспечение возможности восстановления эталонных копий ПО АС, ПО средств и систем защиты информации, системного ПО в случаях нештатных ситуаций.
>
> Уровень защиты информации: 3-О, 2-О, 1-О.

<details>

<summary>Пояснение</summary>

Мера направлена на сохранение и систематическое выполнение процедур корректного формирования резервных копий, систематической полной проверки возможности восстановления из таких резервных копий.

Состав процедур резервного копирования и восстановления должен быть определен для каждой АС отдельно. Проверка выполнения должна проводиться также отдельно для каждой АС.

Несмотря на очевидность важности процедуры, по данной процедуре имеются массовые нарушения у большинства организаций.\
Основанное нарушение – процедура восстановления прописана формально общими фразами и не определяет последовательности действий. Описание процедуры резервного копирования и восстановление должно быть выполнено так, чтобы выполнить процедуру как ручного копирования, так и восстановления из резервной копии смог работник, имеющий доступ для этой операции, но не сопровождающий систему постоянно и незнакомый с деталями размещения системы (на случай отсутствия штатного администратора системы).

Описание процедуры восстановления должно быть таковым, чтобы время, необходимое для ознакомления с последовательностью действий и поиск компонентов было минимальным.

Следующий недостаток – отсутствие учета резервных копий и оперативно доступной нужным сотрудникам информации об актуальном наборе данных для восстановления, местах расположения компонентов.\
Следующий недостаток – отсутствие организационной закрепленного состава ответственных лиц, приоритетов исполнителей (чтобы в случае отсутствия нужного работника автоматически к обязанностям по восстановлению приступил тот, кто его замещает).

Следующий недостаток – отсутствие документирования причин для восстановления (стартового события для восстановления и порядка его передачи ответственным), каналов для уведомления пользователей, результатов восстановления.

</details>

#### Реализация - О

Данная мера должна быть регламентирована в Регламенте/Порядке резервного копирования, либо в Плане мероприятий, направленных на обеспечение непрерывности и/или восстановление деятельности кредитной организации в случае возникновения непредвиденных обстоятельств.

Состав мероприятий должен включать:

* перечень ответственных за резервное копирование и восстановление работников;
* приоритет заменяемости работников;
* если в одной процедуре принимает участие несколько работников, то порядок согласования ими действий друг с другом и фиксация шагов по согласованию действий;
* фиксация статусов резервного копирования и статусов восстановления;
* порядок хранения резервных копий и конкретные места расположения экземпляров резервных копий, маркировка, контроль состава носителей;
* маркировка актуальной резервной копии;
* порядок ведения реестров резервных копий;
* порядок проверки целостности резервной копии;
* порядок отката в случае неудачного восстановления;
* порядок уничтожения поврежденной или устаревшей резервной копии.

#### Проверочные процедуры (свидетельства)

Протоколы тестирования факта восстановления для каждой АС согласно Регламенту/Порядку резервного копирования АС.

Протоколы тестирования Плана мероприятий, направленных на обеспечение непрерывности и/или восстановление деятельности кредитной организации в случае возникновения непредвиденных обстоятельств.

#### Типичные недостатки

Не выявлены.

#### Компенсационные меры

Не выявлены.

#### Выявленные коллизии

Не выявлены.

## ЦЗИ.17 (Н-Н-Т)

> Наличие, учет и контроль целостности эталонных копий ПО АС, ПО средств и систем защиты информации, системного ПО.
>
> Уровень защиты информации: 3-Н, 2-Н, 1-Т.

<details>

<summary>Пояснение</summary>

</details>

#### Реализация - Т

Под эталонными копиями указанного ПО понимаются – копии указанного ПО, с которого осуществляется их установка в инфраструктуру Организации.

В Организации за счет применения технических средств должен вестись реестр (архив) эталонных копий ПО АС, ПО средств и систем защиты информации, системного ПО.

Для обеспечения контроля целостности эталонных копий указанного ПО, можно использовать процедуру снятия хэш функции с реестра (архива) эталонных копий с периодическим контролем отсутствия ее несанкционированного изменения.

#### Проверочные процедуры (свидетельства)

1\.    Скриншоты ведения реестра (архива) эталонных копий ПО АС, ПО средств и систем защиты информации, системного ПО.

2. Свидетельства проведения контроля целостности реестра (архива) эталонных копий ПО АС, ПО средств и систем защиты информации, системного ПО. Например, путем периодической сверки хеш функции реестра (архива) эталонных копий указанного ПО.

#### Типичные недостатки

Не выявлены.

#### Компенсационные меры

Не выявлены.

#### Выявленные коллизии

Не выявлены.

## ЦЗИ.18 (О-О-Т)

> Наличие, учет и контроль целостности эталонных значений параметров настроек ПО АС, системного ПО, ПО средств и систем защиты информации, возможность восстановления указанных настроек в случаях нештатных ситуаций.
>
> Уровень защиты информации: 3-О, 2-О, 1-Т.

<details>

<summary>Пояснение</summary>

Мера направлена на обеспечение гарантированной работы ПО с корректными настройками и возможность восстановления в любой момент времени корректных настроек в случае сбоя ПО.

Формулировка меры не требует именно технической выгрузки файлов настроек (хотя при наличии такой возможности выгрузки файлов настроек рекомендуется выполнять совместно с резервным копированием).

Мера допускает считать эталонами настроек и описание настроек в эксплуатационной документации, и описание настроек в стандартах, и считать эталонными настройками полные резервные копии ПО.

Но, поскольку мера составная, полностью реализованной она считается при одновременной фиксации эталонов, их учете и последующем контроле.

</details>

#### Реализация - Т

Для реализации.

#### Реализация - О

Данная мера должна быть регламентирована в документе, определяющем процедуры управления установкой программного обеспечения на объектах доступа.

В документе необходимо указать для какого состава ПО реализуется формирование эталонных значений параметров на­строек, как выгружаются значения эталонных параметров, где сохраняются, как обеспечивается неизменность эталонов, кто, как часто выполняет контроль эталонов, как фиксируется результат контроля.

В документе должен быть указан порядок ведения реестра эталонных значений, в который включается название ПО, детальное описание версии ПО, адресация к объекту доступа, где функционирует ПО, дата актуализации эталона, лицо, ответственное за достоверность эталона, место расположения эталона.\
В документе должен быть указан порядок истребования эталонов для восстановления в случае нештатных ситуаций (кем, каким образом, порядок проверки, порядок загрузки в ПО, порядок проверки работы ПО).

#### Проверочные процедуры (свидетельства)

Файлы выгруженных настроек ПО (если ПО, в т. ч. АС, позволяет выполнить такую выгрузку)\
Документы – стандарты эксплуатации ПО (в том числе средств защиты, АС).

Эксплуатационная документация на ПО, если она содержит описание эталонных значений настроек (только в случае отсутствия вариативности в описании, когда значения настроек в документации указываются однозначно).

Резервные копии ПО.

Реестр учета эталонных значений.

#### Типичные недостатки

Не выявлены.

#### Компенсационные меры

Не выявлены.

#### Выявленные коллизии

Не выявлены.

## ЦЗИ.19 (О-О-Т)

> Контроль целостности и достоверности источников получения при распространении и (или) обновлении ПО АС, ПО средств и систем защиты информации, системного ПО.
>
> Уровень защиты информации: 3-О, 2-О, 1-Т.

<details>

<summary>Пояснение</summary>

Мера направлена на обеспечение защиты дистрибутивов ПО от несанкционированного изменения или использования подложных дистрибутивов ПО.

</details>

#### Реализация - Т

Должен осуществляться контроль целостности эталонных копий ПО, включая их обновления, и эталонных значений параметров настроек ПО. Контроль целостности может осуществляться по контрольным суммам, с помощью подписания ПО сертификатами или внутренними функциями ПО.

Также должно осуществляться получение ПО и установка обновлений ПО из доверенных источников. Т. е. установка нового ПО и установка обновлений ПО должна осуществляться за счет: скачивания дистрибутивов или патчей ПО с официального сайта производителя (вендора) или за счет встроенного функционала эксплуатируемого ПО. При получении обновления с сайта производителя должна быть обеспечена аутентификация и выделение доверенного пространства для размещения дистрибутива, доступного только после аутентификации.

получения дистрибутивов или патчей ПО у производителя (вендора) или у официальных поставщиков в рамках договорных отношений.

#### Реализация - О

Данная мера должна быть регламентирована в документе, определяющем процедуры управления установкой программного обеспечения на объектах доступа.

В документе должны быть указаны методы контроля целостности дистрибутивов ПО, способы определения достоверности источников получения дистрибутивов ПО.\
В качестве способов контроля целостности могут применяться:

хэш-коды дистрибутивов.

подписание дистрибутива сертификатом разработчика.

внутренние функции ПО по контролю целостности (когда функция контроля запускается из основной, уже развернутой доверенной системы и обеспечивает проверку дополнительно устанавливаемого ПО (обновления или расширения функционала).

В качестве способов определения достоверности источников получения дистрибутивов могут быть:

·         личные кабинеты разработчиков ПО, если имеется способ установить их легитимность (например, адрес личного кабинета указан в договоре, эксплуатационной документации), при этом должна быть обеспечена передача данных по защищенным каналам.

·         встроенные разработчиком в ПО функции подключения к доверенным репозиториям и автоматическое получение дистрибутивов.

·         записанные на неперезаписываемый носитель эталонные копии дистрибутивов ПО;

внутренние репозитории, используемые для хранения исходного кода в случае разработки ПО своими силами.

#### Проверочные процедуры (свидетельства) - Т

Акты или реестры контроля целостности. Для упрощения задачи можно сформировать реестр состава ПО, указать способ контроля целостности, способ или адрес достоверности ресурса для получения бистрибутивов. В реестре сформировать таблицы графиков проверок и по результатам проверок отмечать наличие или отсутствие нарушений.

#### Проверочные процедуры (свидетельства) - О

1\.        Свидетельства реализации контроля целостности (скриншоты контрольных сумм ПО и действий по сверке, скриншоты подписи ПО сертификатом, логи из ПО внутренней проверки устанавливаемого ПО);

2\.        Скриншоты из настроек ПО демонстрирующие источники получения обновлений с выполнением аутентификации;

3\.        Предоставленные вендорами или разработчиками носители без возможности перезаписи, содержащие дистрибутивы ПО;

4\.        Скриншоты встроенного в ПО функционала обращения за обновлениями по встроенному разработчиком ПО доверенному адресу и логи загрузки ПО с этого адреса;

5. Договоры с поставщиками ПО и их защищенные ресурсы для скачивания ПО.

#### Типичные недостатки

Не выявлены.

#### Компенсационные меры

Не выявлены.

#### Выявленные коллизии

Не выявлены.