Рекомендации ФСТЭК

Ниже приведены рекомендации по обеспечению защиты информации согласно требованиям ФСТЭК.

Идентификация и аутентификация субъектов и объектов доступа (ИАФ)

ИАФ.1

Идентификация и аутентификация пользователей, являющихся работниками оператора

Рекомендация по настройке:

• Настроить методы аутентификации пользователей.

• Для администраторов консоли управления настроить вход через Blitz.

• Настроить через процедуры входа для администраторов и пользователей требования к прохождению двухфакторной аутентификации.

• Задать для подключаемых приложений client_id и client_secret.

ИАФ.3

Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов

Рекомендация по настройке:

• Задать атрибут, который будет использоваться в качестве идентификатора учетной записи.

• Настроить запрет на повторное использование идентификатора после удаление учетной записи и блокирование неактивных учетных записей.

ИАФ.4

Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации

Рекомендация по настройке:

• Установить парольную политику.

• Управлять учетными записями пользователей.

ИАФ.5

Защита обратной связи при вводе аутентификационной информации

Специальная настройка не требуется.

ИАФ.6

Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)

Рекомендация по настройке:

• Настроить вход через внешние поставщики идентификации: ЕСИА, СУДИР, другая установка продукта.

Управление доступом субъектов к объектам доступа

УПД.1

Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей

Рекомендация по настройке:

• При необходимости разделения учетных записей на внешние и внутренние завести атрибут с типом учетной записи и настроить политику доступа пользователей в приложения.

• Для временных учетных записей настроить правила блокирования входа по истечение срока действия записей.

• Для использования функций работы с группами пользователей настроить группы пользователей.

• Управлять учетными записями через консоль управления.

УПД.2

Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа

Рекомендация по настройке:

• Настроить права доступа, разрешения.

• Установить разрешения приложений.

• Настроить шлюз безопасности.

• Настроить атрибуты пользователей и группы пользователей, процедуры входа в приложения.

УПД.4

Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы

Рекомендация по настройке:

• Использовать сервисы изменения атрибутов, включения и исключения пользователей в группы, назначения и отзыва прав доступа.

УПД.5

Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы

Рекомендация по настройке:

• Назначать роли администраторов.

• Управлять атрибутами пользователей.

• Назначать права доступа с использованием сервисов.

УПД.6

Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе)

Рекомендация по настройке:

• Настроить политику ограничения числа попыток входа с последующим блокированием учетной записи.

УПД.7

Предупреждение пользователя при его входе в информационную систему о том, что в информационной системе реализованы меры защиты информации, и о необходимости соблюдения им установленных оператором правил обработки информации

Рекомендация по настройке:

• Настроить для приложений экран согласия пользователя: см. Настройка OAuth 2.0 и OpenID Connect 1.0, Общие настройки OAuth 2.0, Настройки текстов интерфейса.

УПД.8

Оповещение пользователя после успешного входа в информационную систему о его предыдущем входе в информационную систему)

Рекомендация по настройке:

• Настроить доступ к аудиту по себе для пользователей.

УПД.9

Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы

Рекомендация по настройке:

• Настроить политику ограничения числа параллельных сеансов.

УПД.10

Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу

Рекомендация по настройке:

• Настроить период неактивности.

Регистрация событий безопасности (РСБ)

РСБ.1

Определение событий безопасности, подлежащих регистрации, и сроков их хранения

Специальная настройка не требуется.

РСБ.2

Определение состава и содержания информации о событиях безопасности, подлежащих регистрации

Специальная настройка не требуется.

РСБ.3

Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения

Рекомендация по настройке:

• Просмотр событий безопасности периодически осуществлять в консоли управления.

РСБ.4

Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти

Рекомендация по настройке:

• Просмотр журналов событий на предмет возникновения ошибок.

РСБ.5

Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них

Рекомендация по настройке:

• Просмотр событий безопасности периодически осуществлять в консоли управления.

РСБ.6

Генерирование временных меток и (или) синхронизация системного времени в информационной системе

Рекомендация по настройке:

• При установке ПО сконфигурировать использование сервиса точного времени (NTP).

РСБ.7

Защита информации о событиях безопасности

Рекомендация по настройке:

• Настроить резервное копирование СУБД

РСБ.8

Обеспечение возможности просмотра и анализа информации о действиях отдельных пользователей в информационной системе

Рекомендация по настройке:

• Просмотр событий безопасности периодически осуществлять в консоли управления.