ЦЗИ 27-36

ЦЗИ.27 (Н-Т-Т)

Регистрация фактов выявления уязвимостей защиты информации.

Уровень защиты информации: 3-Н, 2-Т, 1-Т.

Реализация - Т

Контроль отсутствия уязвимостей защиты информации, в соответствии с мерами ЦЗИ.1-ЦЗИ.10 может быть реализован как за счет применения внедренных средств защиты информации – сканеров уязвимостей (например xSpider, OpenVAS и пр.), так и за счет привлечения внешних подрядчиков проводящих работы по анализу уязвимостей и тестированию на проникновение.

Результатом регистрации фактов выявления уязвимостей защиты информации будет являться их фиксация в составленных отчетах о выявленных уязвимостей (отчет может быть сформирован как за счет встроенного функционала используемых сканеров уязвимостей, так и сотрудниками внешних подрядчиков, проводящих работы по анализу уязвимостей и тестированию на проникновение).

Проверочные процедуры (свидетельства)

В зависимости от применимого варианта реализации контроля отсутствия указанных уязвимостей необходимо предоставить:

А. Отчет о выявленных уязвимостях, сформированный внедренными сканерами уязвимостей;

Б. Отчет о выявленных уязвимостях, сформированный внешними подрядчиками.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЦЗИ.28 (Н-Т-Т)

Регистрация установки, обновления и (или) удаления ПО АС, ПО средств и систем защиты информации, системного ПО на серверном и сетевом оборудовании.

Уровень защиты информации: 3-Н, 2-Т, 1-Т.

Реализация - Т

Регистрация установки и (или) удаления ПО АС, средств и систем защиты информации, системного ПО на серверном и сетевом оборудовании, достигается за счет встроенного функционала регистрации событий в используемых серверных ОС (например журнал событий в Windows), ПО АС (журнал событий АБС, ДБО и пр.) а также средств и систем защиты информации (журнал событий САЗ, DLP и т.д.).

Проверочные процедуры (свидетельства)

А. Скриншот регистрации операций по установке (или) удалению ПО АС, ПО средств и систем защиты информации, системного ПО на серверном и сетевом оборудовании в журнале событий используемых ОС;

Б. Скриншот регистрации операций по установке (или) удалению ПО АС, ПО средств и систем защиты информации, системного ПО на серверном и сетевом оборудовании в журнале событий используемого ПО АС, входящего в область оценки соответствия;

В. Скриншот регистрации операций по установке (или) удалению ПО АС, ПО средств и систем защиты информации, системного ПО на серверном и сетевом оборудовании в журнале событий используемых средств и систем защиты информации входящих в область оценки соответствия.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЦЗИ.29 (Н-Т-Т)

Регистрация установки, обновления и (или) удаления прикладного ПО, ПО АС, ПО средств и систем защиты информации, системного ПО на АРМ пользователей и эксплуатационного персонала.

Уровень защиты информации: 3-Н, 2-Т, 1-Т.

Реализация - Т

Регистрация установки и (или) удаления ПО АС, средств и систем защиты информации, системного ПО на АРМ пользователей и эксплуатационного персонала, достигается за счет встроенного функционала регистрации событий в используемых ОС (Журнал событий в Windows, директория /var/log для Linux), ПО АС (журнал событий АБС, ДБО и пр.) а также средств и систем защиты информации (журнал событий САЗ, DLP и т.д.).

Проверочные процедуры (свидетельства)

А. Скриншот регистрации операций по установке (или) удалению ПО АС, ПО средств и систем защиты информации, системного ПО на АРМ пользователей и эксплуатационного персонала;

Б. Скриншот регистрации операций по установке (или) удалению ПО АС, ПО средств и систем защиты информации, системного ПО на АРМ пользователей и эксплуатационного персонала в журнале событий используемого ПО АС, входящего в область оценки соответствия;

В. Скриншот регистрации операций по установке (или) удалению ПО АС, ПО средств и систем защиты информации, системного ПО на АРМ пользователей и эксплуатационного персонала в журнале событий используемых средств и систем защиты информации входящих в область оценки соответствия.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЦЗИ.30 (Н-Н-Т)

Регистрация запуска программных сервисов.

Уровень защиты информации: 3-Н, 2-Н, 1-Т.

Реализация - Т

Регистрация запуска программных сервисов под управлением ОС Windows осуществляется за счет встроенного функционала ОС путем регистрации их состояния. Регистрация запуска программных сервисов под управлением ОС Linux осуществляется также, за счет встроенного функционала ОС.

Регистрация запуска программных сервисов АС выполняется средствами журналирования АС.

Проверочные процедуры (свидетельства)

А. Предоставить скриншоты регистрации запущенных сервисов под управлением ОС Windows («Управление компьютером – Службы и приложения» – «Службы»).

Б. Предоставить скриншоты регистрации запущенных сервисов под управлением ОС Linux (регистрация активных юнитов «systemctl list-units --all --state=active»).

В. Фрагмент журнала АС с зарегистрированным событием запуска сервиса.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЦЗИ.31 (Н-Н-Т)

Регистрация результатов выполнения операций по контролю состава ПО серверного оборудования, АРМ пользователей и эксплуатационного персонала.

Уровень защиты информации: 3-Н, 2-Н, 1-Т.

Реализация - Т

Результаты выполнения операций по контролю состава ПО серверного оборудования, АРМ пользователей и эксплуатационного персонала должны быть зафиксированы в используемом для инвентаризации ПО, в виде выполненных задач и (или) соответствующих отчетов.

Проверочные процедуры (свидетельства)

Скриншот и (или) выполненной задачи по успешному автоматизированному проведению инвентаризации ПО серверного оборудования, АРМ пользователей и эксплуатационного персонала из используемого для инвентаризации ПО.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЦЗИ.32 (Н-Т-Т)

Регистрация результатов выполнения операций по контролю состава ПО АРМ пользователей и эксплуатационного персонала.

Уровень защиты информации: 3-Н, 2-Т, 1-Т.

Реализация - Т

Контроль состава ПО и регистрация результатов указанного контроля ПО, установленного на АРМ пользователей и эксплуатационного персонала, может осуществляться за счет используемых систем инвентаризации и контроля целостности (например, такой контроль могут выполнять агенты ПО Инвентаризации и контроля целостности – ПО ИКЦ) или встроенного функционала учета в САЗ (например, Kaspersky Endpoint Security) с настроенными оповещениями ответственных лиц о результатах проведенного контроля (отчеты, оповещения).

В ряде крупных финансовых организаций могут создаваться специальные репозитории ограниченного набора ПО, разрешенного к установке на АРМ. Такие репозитории могут как ограничивать возможности установки ПО, так и регистрировать факты установки ПО.

Проверочные процедуры (свидетельства)

А. Предоставить скриншоты и (или) отчеты проведения контроля состава ПО на АРМ пользователей и эксплуатационного персонала с помощью систем инвентаризации и контроля целостности (например агенты ИКЦ) или встроенного функционала учета в САЗ (например, Kaspersky Endpoint Security).

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Под контроль такого ПО ИКЦ, САЗ, репозиториев могут не попадать программы, не использующие стандартные механизмы регистрации факта своей установки средствами ОС (для семейства ОС Windows - регистрация факта установки ПО выполняется в регистрах реестра ОС в момент вызова стандартных функций ОС по установке ПО если установка выполняется штатно). Такое нерегистрируемое ПО может иметь функции самораспаковки и запуска из любого каталога, доступного пользователю для записи файла.

ЦЗИ.33 (Н-Т-Т)

Регистрация результатов выполнения операций по контролю состава ПО, запускаемого при загрузке операционной системы АРМ пользователей и эксплуатационного персонала.

Уровень защиты информации: 3-Н, 2-Т, 1-Т.

Реализация - Т

Контроль состава ПО и регистрация результатов контроля состава ПО, запускаемого при загрузке ОС АРМ пользователей и эксплуатационного персонала, может осуществляться за счет используемых систем инвентаризации и контроля целостности (например, такой контроль могут выполнять агенты ПО Инвентаризации и контроля целостности – ПО ИКЦ) или встроенного функционала учета в САЗ (например, Kaspersky Endpoint Security) с настроенными оповещениями ответственных лиц о результатах проведенного контроля (отчеты, оповещения).

Отличие от меры ЦЗИ.32 в том, что здесь необходимо контролировать состав ПО на уровне начальной инициализации ОС и запуска ПО и компонентов в ходе старта ОС, даже если после окончания загрузки ОС ПО прекращает работу.

Проверочные процедуры (свидетельства)

А. Предоставить скриншоты и (или) отчеты проведения контроля состава ПО, запускаемого при загрузке ОС АРМ пользователей и эксплуатационного персонала с помощью систем инвентаризации и контроля целостности (например агенты ИКЦ) или встроенного функционала учета в САЗ (например, Kaspersky Endpoint Security).

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЦЗИ.34 (Н-Н-Т)

Регистрация результатов выполнения операций контроля целостности запускаемых компонентов ПО АС.

Уровень защиты информации: 3-Н, 2-Н, 1-Т.

Реализация - Т

Контроль целостности запускаемых компонентов ПО АС осуществляется за счет встроенного в АС функционала контроля целостности запускаемых компонентов ПО АС.

Контроль результатов выполнения операций контроля целостности запускаемых компонентов ПО АС может выполняться также за счет встроенного функционала программных средств доверенной загрузки.

Регистрация соответствующих событий должна быть за счет встроенных в средства или модули доверенной загрузки функций регистрации событий.

Проверочные процедуры (свидетельства)

Скриншот регистрации события осуществления контроля целостности запускаемого ПО АС из средств или модулей доверенной загрузки.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЦЗИ.35 (Н-Т-Т)

Регистрация выявления использования технологии мобильного кода.

Уровень защиты информации: 3-Н, 2-Т, 1-Т.

Реализация - Т

Требование реализуется за счет.

- настроек регистрации выявления технологий мобильного кода в используемых САЗ (например, Kaspersky Endpoint Security);

- настроек в ОС и браузерах ограничения исполнения мобильного кода (запрета запуска любого мобильного кода или подписанного недостоверными источниками).

Проверочные процедуры (свидетельства)

А. Предоставить скриншоты настроек, используемых САЗ, свидетельствующих о регистрации использования технологий мобильного кода.

Б. Отчеты используемых САЗ, с выявленным использованием технологий мобильного кода (при наличии соответствующих событий).

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЦЗИ.36 (Н-Н-Т)

Регистрация результатов выполнения операций по контролю целостности и достоверности источников получения при распространении и (или) обновлении ПО АС, ПО средств и систем защиты информации, системного ПО.

Уровень защиты информации: 3-Н, 2-Н, 1-Т

Реализация - Т

Должна осуществляться регистрация результатов контроля целостности эталонных копий ПО, включая их обновления, и эталонных значений параметров настроек ПО.

Также должна осуществляться регистрация факта получения ПО из доверенных источников (с использованием внутреннего функционала ПО или из личных кабинетов разработчиков/вендоров ПО).

Проверочные процедуры (свидетельства)

1. Скриншоты фактов регистрации контроля целостности ПО , в том числе из журналов запуска ПО или журналов установки ПО.

2. Скриншоты регистрации фактов доступа и скачивания ПО из личных кабинетов разработчиков/вендоров.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.