Рекомендации по обеспечению защиты информации согласно требованиям ФСТЭК#

Условное обозначение и номер меры

Мера защиты информации в информационных системах

Рекомендации по настройке

Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)

ИАФ.1

Идентификация и аутентификация пользователей, являющихся работниками оператора

Настроить методы аутентификации пользователей (см. Аутентификация). Для администраторов консоли управления настроить вход через Blitz (см. Настройки консоли управления). Настроить через процедуры входа для администраторов и пользователей требования к прохождению двухфакторной аутентификации (см. Готовые процедуры входа). Задать для подключаемых приложений client_id и client_secret (см. Регистрация приложений в Blitz Identity Provider)

ИАФ.3

Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов

Задать атрибут, который будет использоваться в качестве идентификатора учетной записи (см. Настройка назначения атрибутов). Настроить запрет на повторное использование идентификатора после удаление учетной записи (см. Запрет на использование ID удаленного пользователя) и блокирование неактивных учетных записей (см. Блокирование неактивного пользователя)

ИАФ.4

Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации

Установить парольную политику (см. Полный список файлов). Управлять учетными записями пользователей (см. Администрирование пользователей)

ИАФ.5

Защита обратной связи при вводе аутентификационной информации

Специальная настройка не требуется

ИАФ.6

Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)

Настроить вход через внешние поставщики идентификации (см. Единая система идентификации и аутентификации (ЕСИА), Mos ID (СУДИР), Вход через другую установку Blitz Identity Provider)

Управление доступом субъектов доступа к объектам доступа

УПД.1

Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей

При необходимости разделения учетных записей на внешние и внутренние завести атрибут с типом учетной записи (см. Атрибуты учетных записей) и настроить политику доступа пользователей в приложения (см. Готовые процедуры входа). Для временных учетных записей настроить правила блокирования входа по истечение срока действия записей (см. Ограничение сессий). Для использования функций работы с группами пользователей настроить группы пользователей (см. Включение отображения групп в blitz.conf). Управлять учетными записями через консоль управления (см. Администрирование пользователей)

УПД.2

Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа

Настроить права доступа (см. Полный список файлов), разрешения (см. Общие настройки OAuth 2.0), установить разрешения приложений (см. OAuth 2.0 и OpenID Connect 1.0), настроить шлюз безопасности (см. О модуле Blitz Keeper), настроить атрибуты пользователей (см. Атрибуты учетных записей) и группы пользователей (см. Включение отображения групп в blitz.conf), процедуры входа в приложения (см. Готовые процедуры входа)

УПД.4

Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы

Использовать сервисы изменения атрибутов, включения и исключения пользователей в группы, назначения и отзыва прав доступа (см. «Руководство по интеграции»)

УПД.5

Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы

Назначать роли администраторов (см. Управление учетными записями администраторов), управлять атрибутами пользователей (см. Администрирование пользователей), назначать права доступа с использованием сервисов (см. «Руководство по интеграции»)

УПД.6

Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе)

Настроить политику ограничения числа попыток входа с последующим блокированием учетной записи (см. Вход по логину и паролю)

УПД.7

Предупреждение пользователя при его входе в информационную систему о том, что в информационной системе реализованы меры защиты информации, и о необходимости соблюдения им установленных оператором правил обработки информации

Настроить для приложений экран согласия пользователя (см. OAuth 2.0 и OpenID Connect 1.0, Общие настройки OAuth 2.0, Настройки текстов интерфейса)

УПД.8

Оповещение пользователя после успешного входа в информационную систему о его предыдущем входе в информационную систему)

Настроить доступ к аудиту по себе для пользователей (см. Дополнительные параметры)

УПД.9

Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы

Настроить политику ограничения числа параллельных сеансов (см. Ограничение сессий)

УПД.10

Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу

Настроить период неактивности (см. Аутентификация)

Регистрация событий безопасности (РСБ)

РСБ.1

Определение событий безопасности, подлежащих регистрации, и сроков их хранения

Специальная настройка не требуется

РСБ.2

Определение состава и содержания информации о событиях безопасности, подлежащих регистрации

Специальная настройка не требуется

РСБ.3

Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения

Просмотр событий безопасности периодически осуществлять в консоли управления (см. Просмотр событий безопасности)

РСБ.4

Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти

Просматривать журналы событий на предмет возникновения ошибок (см. Решение проблем)

РСБ.5

Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них

Просмотр событий безопасности периодически осуществлять в консоли управления (см. Просмотр событий безопасности)

РСБ.6

Генерирование временных меток и (или) синхронизация системного времени в информационной системе

При установке ПО сконфигурировать использование сервиса точного времени (NTP)

РСБ.7

Защита информации о событиях безопасности

Настроить резервное копирование СУБД (см. Шаг 3. СУБД)

РСБ.8

Обеспечение возможности просмотра и анализа информации о действиях отдельных пользователей в информационной системе

Просмотр событий безопасности периодически осуществлять в консоли управления (см. Просмотр событий безопасности)