Рекомендации по обеспечению защиты информации согласно требованиям ФСТЭК#
Условное обозначение и номер меры |
Мера защиты информации в информационных системах |
Рекомендации по настройке |
|
|---|---|---|---|
Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) |
|||
ИАФ.1 |
Идентификация и аутентификация пользователей, являющихся работниками оператора |
Настроить методы аутентификации пользователей (см. Аутентификация). Для администраторов консоли управления настроить вход через Blitz (см. Настройки консоли управления). Настроить через процедуры входа для администраторов и пользователей требования к прохождению двухфакторной аутентификации (см. Готовые процедуры входа). Задать для подключаемых приложений |
|
ИАФ.3 |
Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов |
Задать атрибут, который будет использоваться в качестве идентификатора учетной записи (см. Настройка назначения атрибутов). Настроить запрет на повторное использование идентификатора после удаление учетной записи (см. Запрет на использование ID удаленного пользователя) и блокирование неактивных учетных записей (см. Блокирование неактивного пользователя) |
|
ИАФ.4 |
Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации |
Установить парольную политику (см. Полный список файлов). Управлять учетными записями пользователей (см. Администрирование пользователей) |
|
ИАФ.5 |
Защита обратной связи при вводе аутентификационной информации |
Специальная настройка не требуется |
|
ИАФ.6 |
Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей) |
Настроить вход через внешние поставщики идентификации (см. Единая система идентификации и аутентификации (ЕСИА), Mos ID (СУДИР), Вход через другую установку Blitz Identity Provider) |
|
Управление доступом субъектов доступа к объектам доступа |
|||
УПД.1 |
Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей |
При необходимости разделения учетных записей на внешние и внутренние завести атрибут с типом учетной записи (см. Атрибуты учетных записей) и настроить политику доступа пользователей в приложения (см. Готовые процедуры входа). Для временных учетных записей настроить правила блокирования входа по истечение срока действия записей (см. Ограничение сессий). Для использования функций работы с группами пользователей настроить группы пользователей (см. Включение отображения групп в blitz.conf). Управлять учетными записями через консоль управления (см. Администрирование пользователей) |
|
УПД.2 |
Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа |
Настроить права доступа (см. Полный список файлов), разрешения (см. Общие настройки OAuth 2.0), установить разрешения приложений (см. Настройка OAuth 2.0 и OpenID Connect 1.0), настроить шлюз безопасности (см. О модуле Blitz Keeper), настроить атрибуты пользователей (см. Атрибуты учетных записей) и группы пользователей (см. Включение отображения групп в blitz.conf), процедуры входа в приложения (см. Готовые процедуры входа) |
|
УПД.4 |
Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы |
Использовать сервисы изменения атрибутов, включения и исключения пользователей в группы, назначения и отзыва прав доступа (см. «Руководство по интеграции») |
|
УПД.5 |
Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы |
Назначать роли администраторов (см. Управление учетными записями администраторов), управлять атрибутами пользователей (см. Администрирование пользователей), назначать права доступа с использованием сервисов (см. «Руководство по интеграции») |
|
УПД.6 |
Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) |
Настроить политику ограничения числа попыток входа с последующим блокированием учетной записи (см. Вход по логину и паролю) |
|
УПД.7 |
Предупреждение пользователя при его входе в информационную систему о том, что в информационной системе реализованы меры защиты информации, и о необходимости соблюдения им установленных оператором правил обработки информации |
Настроить для приложений экран согласия пользователя (см. Настройка OAuth 2.0 и OpenID Connect 1.0, Общие настройки OAuth 2.0, Настройки текстов интерфейса) |
|
УПД.8 |
Оповещение пользователя после успешного входа в информационную систему о его предыдущем входе в информационную систему) |
Настроить доступ к аудиту по себе для пользователей (см. Дополнительные параметры) |
|
УПД.9 |
Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы |
Настроить политику ограничения числа параллельных сеансов (см. Ограничение сессий) |
|
УПД.10 |
Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу |
Настроить период неактивности (см. Аутентификация) |
|
Регистрация событий безопасности (РСБ) |
|||
РСБ.1 |
Определение событий безопасности, подлежащих регистрации, и сроков их хранения |
Специальная настройка не требуется |
|
РСБ.2 |
Определение состава и содержания информации о событиях безопасности, подлежащих регистрации |
Специальная настройка не требуется |
|
РСБ.3 |
Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения |
Просмотр событий безопасности периодически осуществлять в консоли управления (см. Просмотр событий безопасности) |
|
РСБ.4 |
Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти |
Просматривать журналы событий на предмет возникновения ошибок (см. Решение проблем) |
|
РСБ.5 |
Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них |
Просмотр событий безопасности периодически осуществлять в консоли управления (см. Просмотр событий безопасности) |
|
РСБ.6 |
Генерирование временных меток и (или) синхронизация системного времени в информационной системе |
При установке ПО сконфигурировать использование сервиса точного времени (NTP) |
|
РСБ.7 |
Защита информации о событиях безопасности |
Настроить резервное копирование СУБД (см. Шаг 3. СУБД) |
|
РСБ.8 |
Обеспечение возможности просмотра и анализа информации о действиях отдельных пользователей в информационной системе |
Просмотр событий безопасности периодически осуществлять в консоли управления (см. Просмотр событий безопасности) |
|