ФСТЭК 239

Материал из Rosalab Wiki
Перейти к: навигация, поиск

Возможности реализации мер защиты информации в соответствии с приказом ФСТЭК России №239 средствами операционной системы Роса Хром 12F.1 (сертификат ФСТЭК)

Текст приказа ФСТЭК №239

Текст заголовка Текст заголовка Текст заголовка
Текст ячейки Текст ячейки Текст ячейки
Текст ячейки Текст ячейки Текст ячейки
Текст ячейки Текст ячейки Текст ячейки
Мера Поддержка Комментарий
УПД.0 Регламентация правил и процедур управления доступом + k
УПД.1 Управление учетными записями пользователей + k
УПД.2 Реализация модели управления доступом + k
УПД.3 Доверенная загрузка + k
УПД.4 Разделение полномочий (ролей) пользователей + k
УПД.5 Назначение минимально необходимых прав и привилегий + k
УПД.6 Ограничение неуспешных попыток доступа в информационную (автоматизированную) систему + k
УПД.9 Ограничение числа параллельных сеансов доступа + k
УПД.10 Блокирование сеанса доступа пользователя при неактивности + k
УПД.11 Управление действиями пользователей до идентификации и аутентификации + k
УПД.13 Реализация защищенного удаленного доступа + k
УПД.14 Контроль доступа из внешних информационных (автоматизированных) систем + k
ОПС.0 Регламентация правил и процедур ограничения программной среды + k
ОПС.1 Управление запуском (обращениями) компонентов программного обеспечения + k
ОПС.2 Управление установкой (инсталляцией) компонентов программного обеспечения + k
ЗНИ.0 Регламентация правил и процедур защиты машинных носителей информации + k
ЗНИ.1 Учет машинных носителей информации + k
ЗНИ.2 Управление физическим доступом к машинным носителям информации + k
ЗНИ.5 Контроль использования интерфейсов ввода (вывода) информации на съемные машинные носители информации + k
ЗНИ.6 Контроль ввода (вывода) информации на съемные машинные носители информации + k
ЗНИ.7 Контроль подключения съемных машинных носителей информации + k
ЗНИ.8 Уничтожение (стирание) информации на машинных носителях информации + k
АУД.0 Регламентация правил и процедур аудита безопасности + k
АУД.1 Инвентаризация информационных ресурсов + k
АУД.2 Анализ уязвимостей и их устранение + k
АУД.3 Генерирование временных меток и (или) синхронизация системного времени + k
АУД.4 Регистрация событий безопасности + k
АУД.5 Контроль и анализ сетевого трафика + k
АУД.6 Защита информации о событиях безопасности + k
АУД.7 Мониторинг безопасности + k
АУД.8 Реагирование на сбои при регистрации событий безопасности + k
АУД.9 Анализ действий отдельных пользователей + k
АУД.10 Проведение внутренних аудитов + k
АУД.11 Проведение внешних аудитов + k
АВЗ.0 Регламентация правил и процедур антивирусной защиты + k
АВЗ.1 Реализация антивирусной защиты + k
АВЗ.2 Антивирусная защита электронной почты и иных сервисов + k
АВЗ.3 Контроль использования архивных, исполняемых и зашифрованных файлов + k
АВЗ.4 Обновление базы данных признаков вредоносных компьютерных программ (вирусов) + k
АВЗ.5 Использование средств антивирусной защиты различных производителей + k
СОВ.0 Регламентация правил и процедур предотвращения вторжений (компьютерных атак) + k
СОВ.1 Обнаружение и предотвращение компьютерных атак + k
СОВ.2 Обновление базы решающих правил + k
ОЦЛ.0 Регламентация правил и процедур обеспечения целостности + k
ОЦЛ.1 Контроль целостности программного обеспечения + k
ОЦЛ.3 Ограничения по вводу информации в информационную (автоматизированную) систему + k
ОЦЛ.4 Контроль данных, вводимых в информационную (автоматизированную) систему + k
ОЦЛ.5 Контроль ошибочных действий пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действиях + k
ОДТ.0 Регламентация правил и процедур обеспечения доступности + k
ОДТ.1 Использование отказоустойчивых технических средств + k
ОДТ.2 Резервирование средств и систем + k
ОДТ.3 Контроль безотказного функционирования средств и систем + k
ОДТ.4 Резервное копирование информации + k
ОДТ.5 Обеспечение возможности восстановления информации + k
ОДТ.6 Обеспечение возможности восстановления программного обеспечения при нештатных ситуациях + k
ОДТ.8 Контроль предоставляемых вычислительных ресурсов и каналов связи + k
ЗТС.0 Регламентация правил и процедур защиты технических средств и систем + k
ЗТС.2 Организация контролируемой зоны + k
ЗТС.3 Управление физическим доступом + k
ЗТС.4 Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр + k
ЗТС.5 Защита от внешних воздействий + k
ЗИС.0 Регламентация правил и процедур защиты информационной (автоматизированной) системы и ее компонентов + k
ЗИС.1 Разделение функций по управлению (администрированию) информационной (автоматизированной) системой с иными функциями + k
ЗИС.2 Защита периметра информационной (автоматизированной) системы + k
ЗИС.3 Эшелонированная защита информационной (автоматизированной) системы + k
ЗИС.4 Сегментирование информационной (автоматизированной) системы + k
ЗИС.5 Организация демилитаризованной зоны + k
ЗИС.6 Управление сетевыми потоками + k
ЗИС.7 Использование эмулятора среды функционирования программного обеспечения ("песочница") + k
ЗИС.8 Сокрытие архитектуры и конфигурации информационной (автоматизированной) системы + k
ЗИС.13 Защита неизменяемых данных + k
ЗИС.16 Защита от спама + k
ЗИС.19 Защита информации при ее передаче по каналам связи + k
ЗИС.20 Обеспечение доверенных канала, маршрута + k
ЗИС.21 Запрет несанкционированной удаленной активации периферийных устройств + k
ЗИС.27 Обеспечение подлинности сетевых соединений + k
ЗИС.32 Защита беспроводных соединений + k
ЗИС.33 Исключение доступа через общие ресурсы + k
ЗИС.34 Защита от угроз отказа в обслуживании (DOS, DDOS-атак) + k
ЗИС.35 Управление сетевыми соединениями + k
ЗИС.38 Защита информации при использовании мобильных устройств + k
ЗИС.39 Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных + k
ИНЦ.0 Регламентация правил и процедур реагирования на компьютерные инциденты + k
ИНЦ.1 Выявление компьютерных инцидентов + k
ИНЦ.2 Информирование о компьютерных инцидентах + k
ИНЦ.3 Анализ компьютерных инцидентов + k
ИНЦ.4 Устранение последствий компьютерных инцидентов + k
ИНЦ.5 Принятие мер по предотвращению повторного возникновения компьютерных инцидентов + k
ИНЦ.6 Хранение и защита информации о компьютерных инцидентах + k
УКФ.0 Регламентация правил и процедур управления конфигурацией информационной (автоматизированной) системы + k
УКФ.1 Идентификация объектов управления конфигурацией + k
УКФ.2 Управление изменениями + k
УКФ.3 Установка (инсталляция) только разрешенного к использованию программного обеспечения + k
ОПО.0 Регламентация правил и процедур управления обновлениями программного обеспечения + k
ОПО.1 Поиск, получение обновлений программного обеспечения от доверенного источника + k
ОПО.2 Контроль целостности обновлений программного обеспечения + k
ОПО.3 Тестирование обновлений программного обеспечения + k
ОПО.4 Установка обновлений программного обеспечения + k
ПЛН.0 Регламентация правил и процедур планирования мероприятий по обеспечению защиты информации + k
ПЛН.1 Разработка, утверждение и актуализация плана мероприятий по обеспечению защиты информации + k
ПЛН.2 Контроль выполнения мероприятий по обеспечению защиты информации + k
ДНС.0 Регламентация правил и процедур обеспечения действий в нештатных ситуациях + k
ДНС.1 Разработка плана действий в нештатных ситуациях + k
ДНС.2 Обучение и отработка действий персонала в нештатных ситуациях + k
ДНС.3 Создание альтернативных мест хранения и обработки информации на случай возникновения нештатных ситуаций + k
ДНС.4 Резервирование программного обеспечения, технических средств, каналов связи на случай возникновения нештатных ситуаций + k
ДНС.5 Обеспечение возможности восстановления информационной (автоматизированной) системы в случае возникновения нештатных ситуаций + k
ДНС.6 Анализ возникших нештатных ситуаций и принятие мер по недопущению их повторного возникновения + k
ИПО.0 Регламентация правил и процедур информирования и обучения персонала + k
ИПО.1 Информирование персонала об угрозах безопасности информации и о правилах безопасной работы + k
ИПО.2 Обучение персонала правилам безопасной работы + k
ИПО.3 Проведение практических занятий с персоналом по правилам безопасной работы + k
ИПО.4 Контроль осведомленности персонала об угрозах безопасности информации и о правилах безопасной работы + k