ЦЗИ 12-19

Базовый состав мер по организации и контролю размещения, хранения и обновления ПО применительно к уровням защиты информации

ЦЗИ.12 (О-О-Т)

Контроль размещения и своевременного обновления на серверном и сетевом оборудовании ПО средств и систем защиты информации, прикладного ПО, ПО АС, системного ПО и сигнатурных баз средств защиты информации, в том числе с целью устранения выявленных уязвимостей защиты информации.

Уровень защиты информации: 3-О, 2-О, 1-Т.

Пояснение

Мера предназначена для поддержания в актуальном состоянии состава ПО сетевого и серверного оборудования.

Реализация - Т

Для реализации

Реализация - О

Данная мера должна быть регламентирована в документе, определяющем процедуры управления установкой программного обеспечения на объектах доступа. В документе указывается периодичность контроля размещения и обновления ПО, кто выполняет контроль размещения и обновления ПО, как фиксируются результаты контроля, порядок реагирования при обнаружении нарушений. В документе рекомендуется прописать детальный график проверки точек размещения/обновления ПО группами (в одну проверку охватить весь объем - малореальная задача) таким образом, чтобы за год охватить весь набор точек проверки.

Проверочные процедуры (свидетельства)

Акты контроля размещения и обновления ПО сетевого и серверного оборудования. Отметки в графике проверок.

Типичные недостатки

Обновление прикладного ПО, ПО АС, системного ПО и сигнатурных баз средств защиты информации могут выполняться различными способами.

Автоматизировано и ежедневно – при автоматическом подключении к системе обновления.

Ручным способом – при невозможности подключения к системе обновления (например, система в изолированном сегменте).

Дополнительно к этому точек проверки состояния ПО чрезмерное количество. В связи с этим сложно установить разумный период, при котором возможно обеспечить организационным методом стабильное выполнение процедур проверки.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЦЗИ.13 (О-О-Т)

Контроль размещения и своевременного обновления на АРМ пользователей и эксплуатационного персонала ПО средств и систем защиты информации, прикладного ПО, ПО АС и системного ПО, в том числе с целью устранения выявленных уязвимостей защиты информации.

Уровень защиты информации: 3-О, 2-О, 1-Т.

Пояснение

Мера предназначена для поддержания в актуальном состоянии состава ПО АРМ пользователей и эксплуатационного персонала.

Реализация - Т

Для реализации

Реализация - О

Данная мера должна быть регламентирована в документе, определяющем процедуры управления установкой программного обеспечения на объектах доступа. В документе указывается периодичность контроля размещения и обновления ПО, кто выполняет контроль размещения и обновления ПО, как фиксируются результаты контроля, порядок реагирования при обнаружении нарушений. В документе рекомендуется прописать детальный график проверки точек размещения/обновления ПО группами (в одну проверку охватить весь объем - малореальная задача) таким образом, чтобы за год охватить весь набор точек проверки.

Проверочные процедуры (свидетельства)

Акты контроля размещения и обновления ПО сетевого и серверного оборудования. Отметки в графике проверок.

Типичные недостатки

Обновление прикладного ПО, ПО АС, системного ПО и сигнатурных баз средств защиты информации могут выполняться различными способами.

Автоматизировано и ежедневно – при автоматическом подключении к системе обновления.

Ручным способом – при невозможности подключения к системе обновления (например, система в изолированном сегменте).

Дополнительно к этому точек проверки состояния ПО чрезмерное количество. В связи с этим сложно установить разумный период, при котором возможно обеспечить организационным методом стабильное выполнение процедур проверки.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЦЗИ.14 (О-О-О)

Контроль работоспособности (тестирование) и правильности функционирования АС после выполнения обновлений ПО, предусмотренного мерами ЦЗИ.12 и ЦЗИ.13 настоящей таблицы, выполняемого в сегментах разработки и тестирования.

Уровень защиты информации: 3-О, 2-О, 1-О.

Пояснение

Реализация - О

Данная мера должна быть регламентирована в Политике/Положении обеспечения информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем.

Проверочные процедуры (свидетельства)

Акт контроля работоспособности (тестирование) и правильности функционирования АС после выполнения обновлений ПО на серверах, ПО средств защиты, прикладного ПО, ПО АС. Скриншот задачи в системах учета задач контроля работоспособности (тестирование) и правильности функционирования АС после выполнения обновлений ПО на серверах, ПО средств защиты, прикладного ПО, ПО АС.

В акте или задаче должно быть зафиксировано, в каком сегменте выполнялся контроль.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЦЗИ.15 (О-Т-Т)

Контроль отсутствия и обеспечение оперативного устранения известных (описанных) уязвимостей защиты информации после выполнения обновлений ПО, предусмотренного мерой ЦЗИ.12 настоящей таблицы.

Уровень защиты информации: 3-О, 2-Т, 1-Т.

Пояснение

В соответствии с требованиями данной меры, необходимо реализовать процедуру выявления и устранения уязвимостей защиты информации, после обновления на серверном и сетевом оборудовании ПО средств и систем защиты информации, прикладного ПО, ПО АС, системного ПО.

Реализация - Т

Контроль отсутствия уязвимостей защиты информации, в соответствии с данной мерой может быть реализован за счет применения внедренных средств защиты информации – сканеров уязвимостей (например xSpider, OpenVAS и пр.).

Результатом регистрации фактов выявления уязвимостей защиты информации будет являться их фиксация в составленных отчетах о выявленных уязвимостей.

Оперативное устранение выявленных уязвимостей осуществляется на основании сформированных сканерами уязвимостей отчетов, путем составления плана мероприятий по устранению выявленных уязвимостей, с указанием ответственных за устранение лиц и сроков реализации плана.

Реализация - О

Требование повторного, после обновления ПО, контроля отсутствия известных (описанных) уязвимостей защиты информации должно быть указано во внутреннем документе. Контроль может выполняться вручную, проверкой текущих версий ресурсов доступа и проверкой наличия записей об уязвимостях для данной версии в публичных базах уязвимостей, Результаты контроля должны оформляться актами и распоряжениями по устранению уязвимостей (если таковые будут обнаружены) с указанием срока устранения, критичности уязвимости. Уязвимость должна быть устранена, а факт зафиксирован в акте устранения и проверен ответственным работником.

Проверочные процедуры (свидетельства) - Т

1. Отчет о выявленных уязвимостях после обновления на серверном и сетевом оборудовании ПО средств и систем защиты информации, прикладного ПО, ПО АС, системного ПО, сформированный внедренными сканерами уязвимостей.

*Подтверждением того, что сканируемое ПО на серверном и сетевом оборудовании действительно было обновлено, вследствие чего была запущена процедура контроля отсутствия уязвимостей – будет являться соответствующие скриншоты логов обновления ПО.

2. Также необходимо предоставить свидетельства оперативного устранения указанных уязвимостей – планы мероприятий по устранению уязвимостей (утвержденные планы в формате внутреннего документа; соответствующие служебные записки и пр.).

Проверочные процедуры (свидетельства) - О

Акты проверки версий ПО на наличие уязвимостей в базах данных уязвимостей. Акты результатов устранения уязвимостей ПО.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЦЗИ.16 (О-О-О)

Обеспечение возможности восстановления эталонных копий ПО АС, ПО средств и систем защиты информации, системного ПО в случаях нештатных ситуаций.

Уровень защиты информации: 3-О, 2-О, 1-О.

Пояснение

Мера направлена на сохранение и систематическое выполнение процедур корректного формирования резервных копий, систематической полной проверки возможности восстановления из таких резервных копий.

Состав процедур резервного копирования и восстановления должен быть определен для каждой АС отдельно. Проверка выполнения должна проводиться также отдельно для каждой АС.

Несмотря на очевидность важности процедуры, по данной процедуре имеются массовые нарушения у большинства организаций. Основанное нарушение – процедура восстановления прописана формально общими фразами и не определяет последовательности действий. Описание процедуры резервного копирования и восстановление должно быть выполнено так, чтобы выполнить процедуру как ручного копирования, так и восстановления из резервной копии смог работник, имеющий доступ для этой операции, но не сопровождающий систему постоянно и незнакомый с деталями размещения системы (на случай отсутствия штатного администратора системы).

Описание процедуры восстановления должно быть таковым, чтобы время, необходимое для ознакомления с последовательностью действий и поиск компонентов было минимальным.

Следующий недостаток – отсутствие учета резервных копий и оперативно доступной нужным сотрудникам информации об актуальном наборе данных для восстановления, местах расположения компонентов. Следующий недостаток – отсутствие организационной закрепленного состава ответственных лиц, приоритетов исполнителей (чтобы в случае отсутствия нужного работника автоматически к обязанностям по восстановлению приступил тот, кто его замещает).

Следующий недостаток – отсутствие документирования причин для восстановления (стартового события для восстановления и порядка его передачи ответственным), каналов для уведомления пользователей, результатов восстановления.

Реализация - О

Данная мера должна быть регламентирована в Регламенте/Порядке резервного копирования, либо в Плане мероприятий, направленных на обеспечение непрерывности и/или восстановление деятельности кредитной организации в случае возникновения непредвиденных обстоятельств.

Состав мероприятий должен включать:

  • перечень ответственных за резервное копирование и восстановление работников;

  • приоритет заменяемости работников;

  • если в одной процедуре принимает участие несколько работников, то порядок согласования ими действий друг с другом и фиксация шагов по согласованию действий;

  • фиксация статусов резервного копирования и статусов восстановления;

  • порядок хранения резервных копий и конкретные места расположения экземпляров резервных копий, маркировка, контроль состава носителей;

  • маркировка актуальной резервной копии;

  • порядок ведения реестров резервных копий;

  • порядок проверки целостности резервной копии;

  • порядок отката в случае неудачного восстановления;

  • порядок уничтожения поврежденной или устаревшей резервной копии.

Проверочные процедуры (свидетельства)

Протоколы тестирования факта восстановления для каждой АС согласно Регламенту/Порядку резервного копирования АС.

Протоколы тестирования Плана мероприятий, направленных на обеспечение непрерывности и/или восстановление деятельности кредитной организации в случае возникновения непредвиденных обстоятельств.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЦЗИ.17 (Н-Н-Т)

Наличие, учет и контроль целостности эталонных копий ПО АС, ПО средств и систем защиты информации, системного ПО.

Уровень защиты информации: 3-Н, 2-Н, 1-Т.

Пояснение

Реализация - Т

Под эталонными копиями указанного ПО понимаются – копии указанного ПО, с которого осуществляется их установка в инфраструктуру Организации.

В Организации за счет применения технических средств должен вестись реестр (архив) эталонных копий ПО АС, ПО средств и систем защиты информации, системного ПО.

Для обеспечения контроля целостности эталонных копий указанного ПО, можно использовать процедуру снятия хэш функции с реестра (архива) эталонных копий с периодическим контролем отсутствия ее несанкционированного изменения.

Проверочные процедуры (свидетельства)

1. Скриншоты ведения реестра (архива) эталонных копий ПО АС, ПО средств и систем защиты информации, системного ПО.

  1. Свидетельства проведения контроля целостности реестра (архива) эталонных копий ПО АС, ПО средств и систем защиты информации, системного ПО. Например, путем периодической сверки хеш функции реестра (архива) эталонных копий указанного ПО.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЦЗИ.18 (О-О-Т)

Наличие, учет и контроль целостности эталонных значений параметров настроек ПО АС, системного ПО, ПО средств и систем защиты информации, возможность восстановления указанных настроек в случаях нештатных ситуаций.

Уровень защиты информации: 3-О, 2-О, 1-Т.

Пояснение

Мера направлена на обеспечение гарантированной работы ПО с корректными настройками и возможность восстановления в любой момент времени корректных настроек в случае сбоя ПО.

Формулировка меры не требует именно технической выгрузки файлов настроек (хотя при наличии такой возможности выгрузки файлов настроек рекомендуется выполнять совместно с резервным копированием).

Мера допускает считать эталонами настроек и описание настроек в эксплуатационной документации, и описание настроек в стандартах, и считать эталонными настройками полные резервные копии ПО.

Но, поскольку мера составная, полностью реализованной она считается при одновременной фиксации эталонов, их учете и последующем контроле.

Реализация - Т

Для реализации.

Реализация - О

Данная мера должна быть регламентирована в документе, определяющем процедуры управления установкой программного обеспечения на объектах доступа.

В документе необходимо указать для какого состава ПО реализуется формирование эталонных значений параметров на­строек, как выгружаются значения эталонных параметров, где сохраняются, как обеспечивается неизменность эталонов, кто, как часто выполняет контроль эталонов, как фиксируется результат контроля.

В документе должен быть указан порядок ведения реестра эталонных значений, в который включается название ПО, детальное описание версии ПО, адресация к объекту доступа, где функционирует ПО, дата актуализации эталона, лицо, ответственное за достоверность эталона, место расположения эталона. В документе должен быть указан порядок истребования эталонов для восстановления в случае нештатных ситуаций (кем, каким образом, порядок проверки, порядок загрузки в ПО, порядок проверки работы ПО).

Проверочные процедуры (свидетельства)

Файлы выгруженных настроек ПО (если ПО, в т. ч. АС, позволяет выполнить такую выгрузку) Документы – стандарты эксплуатации ПО (в том числе средств защиты, АС).

Эксплуатационная документация на ПО, если она содержит описание эталонных значений настроек (только в случае отсутствия вариативности в описании, когда значения настроек в документации указываются однозначно).

Резервные копии ПО.

Реестр учета эталонных значений.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЦЗИ.19 (О-О-Т)

Контроль целостности и достоверности источников получения при распространении и (или) обновлении ПО АС, ПО средств и систем защиты информации, системного ПО.

Уровень защиты информации: 3-О, 2-О, 1-Т.

Пояснение

Мера направлена на обеспечение защиты дистрибутивов ПО от несанкционированного изменения или использования подложных дистрибутивов ПО.

Реализация - Т

Должен осуществляться контроль целостности эталонных копий ПО, включая их обновления, и эталонных значений параметров настроек ПО. Контроль целостности может осуществляться по контрольным суммам, с помощью подписания ПО сертификатами или внутренними функциями ПО.

Также должно осуществляться получение ПО и установка обновлений ПО из доверенных источников. Т. е. установка нового ПО и установка обновлений ПО должна осуществляться за счет: скачивания дистрибутивов или патчей ПО с официального сайта производителя (вендора) или за счет встроенного функционала эксплуатируемого ПО. При получении обновления с сайта производителя должна быть обеспечена аутентификация и выделение доверенного пространства для размещения дистрибутива, доступного только после аутентификации.

получения дистрибутивов или патчей ПО у производителя (вендора) или у официальных поставщиков в рамках договорных отношений.

Реализация - О

Данная мера должна быть регламентирована в документе, определяющем процедуры управления установкой программного обеспечения на объектах доступа.

В документе должны быть указаны методы контроля целостности дистрибутивов ПО, способы определения достоверности источников получения дистрибутивов ПО. В качестве способов контроля целостности могут применяться:

хэш-коды дистрибутивов.

подписание дистрибутива сертификатом разработчика.

внутренние функции ПО по контролю целостности (когда функция контроля запускается из основной, уже развернутой доверенной системы и обеспечивает проверку дополнительно устанавливаемого ПО (обновления или расширения функционала).

В качестве способов определения достоверности источников получения дистрибутивов могут быть:

· личные кабинеты разработчиков ПО, если имеется способ установить их легитимность (например, адрес личного кабинета указан в договоре, эксплуатационной документации), при этом должна быть обеспечена передача данных по защищенным каналам.

· встроенные разработчиком в ПО функции подключения к доверенным репозиториям и автоматическое получение дистрибутивов.

· записанные на неперезаписываемый носитель эталонные копии дистрибутивов ПО;

внутренние репозитории, используемые для хранения исходного кода в случае разработки ПО своими силами.

Проверочные процедуры (свидетельства) - Т

Акты или реестры контроля целостности. Для упрощения задачи можно сформировать реестр состава ПО, указать способ контроля целостности, способ или адрес достоверности ресурса для получения бистрибутивов. В реестре сформировать таблицы графиков проверок и по результатам проверок отмечать наличие или отсутствие нарушений.

Проверочные процедуры (свидетельства) - О

1. Свидетельства реализации контроля целостности (скриншоты контрольных сумм ПО и действий по сверке, скриншоты подписи ПО сертификатом, логи из ПО внутренней проверки устанавливаемого ПО);

2. Скриншоты из настроек ПО демонстрирующие источники получения обновлений с выполнением аутентификации;

3. Предоставленные вендорами или разработчиками носители без возможности перезаписи, содержащие дистрибутивы ПО;

4. Скриншоты встроенного в ПО функционала обращения за обновлениями по встроенному разработчиком ПО доверенному адресу и логи загрузки ПО с этого адреса;

  1. Договоры с поставщиками ПО и их защищенные ресурсы для скачивания ПО.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

PreviousЦЗИ 1-11NextЦЗИ 20-26

Last updated