Mailion.Сертифицированный

Меры защиты информации

Идентификация и аутентификация

ИАФ.1

Идентификация и аутентификация пользователей, являющихся работниками оператора (внутренних пользователей), и процессов, запускаемых от имени этих пользователей, а также процессов, запускаемых от имени системных учетных записей.

ИАФ.1 У4

Многофакторная (двухфакторная) аутентификация для локального доступа в систему с правами непривилегированных учетных записей (пользователей).

ИАФ.4 У1г

Длина пароля не менее восьми символов, алфавит пароля не менее 70 символов, максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 4 попыток, блокировка программно-технического средства или учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации от 15 до 60 минут, смена паролей не более чем через 60 дней.

ИАФ.1 У1а

Многофакторная (двухфакторная) аутентификация для удаленного доступа в систему с правами привилегированных учетных записей (администраторов): с использованием сети связи общего пользования, в том числе сети Интернет.

ИАФ.3 У1б

Исключение повторного использования идентификатора пользователя в течение: не менее трех лет.

ИАФ.5

Защита аутентификационной информации в процессе ее ввода.

ИАФ.1 У2а

Многофакторная (двухфакторная) аутентификация для удаленного доступа в систему с правами непривилегированных учетных записей (пользователей) с использованием сети связи общего пользования, в том числе сети Интернет.

ИАФ.3 У2б

Блокирование идентификатора пользователя через период времени неиспользования: не более 45 дней.

ИАФ.3

Управление идентификаторами пользователей и устройств в информационной системе.

ИАФ.1 У3

Многофакторная (двухфакторная) аутентификация для локального доступа в систему с правами привилегированных учетных записей (администраторов).

ИАФ.4

Управление средствами аутентификации (аутентификационной информацией) пользователей и устройств в операционной системе.

Регистрация событий

РСБ.1

Определение событий безопасности, подлежащих регистрации, и сроков их хранения.

РСБ.1 У4в

Хранение журналов приложений, которые послужили основанием для регистрации события безопасности.

РСБ.6

Генерирование временных меток и (или) синхронизация системного времени в информационной системе.

РСБ.1 У1

Пересмотр перечня событий безопасности, подлежащих регистрации, не менее чем один раз в год, а также по результатам контроля (мониторинга) за обеспечением уровня защищенности информации, содержащейся в информационной системе.

РСБ.2

Определение состава и содержания информации о событиях безопасности, подлежащих регистрации.

РСБ.6 У1

Определение источника надежных меток времени; в информационной системе должна выполняться синхронизация системного времени с периодичностью, определенной оператором.

РСБ.1 У2

Включение событий, связанных с действиями от имени привилегированных учетных записей (администраторов), в перечень событий безопасности, подлежащих регистрации.

РСБ.2 У1а

Запись дополнительной информации о событиях безопасности, включающую: полнотекстовую запись привилегированных команд (команд, управляющих системными функциями).

РСБ.7

Защита информации о событиях безопасности.

РСБ.1 У3

Включение событий, связанных с изменением привилегий учетных записей, в перечень событий безопасности, подлежащих регистрации.

РСБ.3

Сбор, запись и хранение информации о событиях безопасности в соответствии с РСБ.1, с составом и содержанием информации, определенными в соответствии с РСБ.2, в течение установленного оператором времени хранения информации о событиях безопасности.

РСБ.7 У1

Резервное копирование записей регистрации (аудита).

РСБ.1 У4б

Обеспечение срока хранения информации о зарегистрированных событиях безопасности не менее трех месяцев, если иное не установлено требованиями законодательства Российской Федерации, при этом: осуществляется хранение записей о выявленных событиях безопасности и записей системных журналов, которые послужили основанием для регистрации события безопасности.

РСБ.3 У1

Централизованное автоматизированное управление сбором, записью и хранением информации о событиях безопасности.

РСБ.8

Обеспечение возможности просмотра и анализа информации о действиях отдельных пользователей в информационной системе.

Управление доступом

УПД.1

Управление учетными записями пользователей, в том числе внешних пользователей.

УПД.2-У2

Управление доступом субъектов к техническим средствам, устройствам, внешним устройствам.

УПД.5-У1

Предоставление прав и привилегий по доступу к функциям безопасности (параметрам настройки) средств защиты информации исключительно администратору, наделенному полномочиями по администрированию системы защиты информации.

УПД.11

Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации.

УПД.1-У1

Использование автоматизированных средств поддержки управления учетными записями пользователей.

УПД.2-У3

Управление доступом субъектов к объектам, создаваемым общесистемным (общим) программным обеспечением.

УПД.6

Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе).

УПД.1-У2

Автоматическое блокирование временных учетных записей пользователей по окончании установленного периода времени для их использования.

УПД.2-У4

Управление доступом субъектов к объектам, создаваемым прикладным и специальным программным обеспечением.

УПД.6-У1

Автоматическое блокирование устройства, с которого предпринимаются попытки доступа, и (или) учетной записи пользователя при превышении пользователем ограничения количества неуспешных попыток входа в информационную систему (доступа к информационной системе) за установленный период времени с возможностью разблокирования только администратором или иным лицом, имеющим соответствующие полномочия (роль).

УПД.1-У3б

Автоматическое блокирование неактивных (неиспользуемых) учетных записей пользователей после периода времени неиспользования: более 45 дней.

УПД.4

Разделение обязанностей полномочий (ролей), администраторов и лиц, обеспечивающих функционирование информационной системы.

УПД.10

Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу.

УПД.2

Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа.

УПД.4 У1

Выполнение каждой роли по обработке информации, администрированию информационной системы, ее системы защиты информации, контролю (мониторингу) за обеспечением уровня защищенности информации, обеспечению функционирования информационной системы отдельным должностным лицом.

УПД.10-У1б

Блокирование сеанса доступа пользователя после времени бездействия (неактивности) пользователя: до 5 минут.

УПД.2-У1

Управление доступом субъектов при входе в информационную систему.

УПД.5

Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы.

УПД.10-У2

В информационной системе на устройстве отображения (мониторе) после блокировки сеанса не должна отображаться информация сеанса пользователя (в том числе использование "хранителя экрана", гашение экрана или иные способы).

Защита информационной системы

ЗИС.7

Контроль санкционированного и исключение несанкционированного использования технологий мобильного кода, в том числе регистрация событий, связанных с использованием технологии мобильного кода, их анализ и реагирование на нарушения, связанные с использованием технологии мобильного кода.

ЗИС.10

Подтверждение происхождения источника информации, получаемой в процессе определения сетевых адресов по сетевым именам или определения сетевых имен по сетевым адресам.

ЗИС.7 У1

Механизмы обнаружения и анализа мобильного кода для выявления фактов несанкционированного использования мобильного кода и выполнения действий по реагированию (оповещение администраторов, изоляция мобильного кода (перемещение в карантин), блокирование мобильного кода, удаление мобильного кода) и иные действия, определяемые оператором.

ЗИС.11

Обеспечение признания идентификатора сеанса связи недействительным после окончания сетевого соединения.

ЗИС.7 У2

Запрет загрузки и выполнения запрещенного мобильного кода.

ЗИС.11 У1

Обеспечение признания идентификатора сеанса связи недействительным после окончания сетевого соединения.

Обеспечение доступности информации

ОДТ.3

Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование.

ОДТ.4 У1

Проверка работоспособности средств резервного копирования, средств хранения резервных копий и средств восстановления информации из резервных копий (периодичность проверки работоспособности определяется оператором).

ОДТ.5 У1

Возможность восстановления информации с учетом нагруженного ("горячего") резервирования технических средств.

ОДТ.3 У1

Сигнализация (уведомление) о неисправностях, сбоях и отказах в функционировании программно-технических средств информационной системы.

ОДТ.4 У3

Резервное копирование информации на зеркальную информационную систему (сегмент информационной системы, техническое средство, устройство).

ОДТ.4

Периодическое резервное копирование персональных данных на резервные машинные носители персональных данных.

ОДТ.5

Возможность восстановления персональных данных с резервных машинных носителей персональных данных (резервных копий) в течение установленного временного интервала.

Контроль целостности информации

ОЦЛ.3

Возможность восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций.

ОЦЛ.7

Контроль точности, полноты и правильности данных, вводимых в информационную систему.

ОЦЛ.3 У1

Восстановление отдельных функциональных возможностей информационной системы с применением резервированного программного обеспечения зеркальной информационной системы (сегмента информационной системы, технического средства, устройства).

ОЦЛ.8

Контроль ошибочных действий пользователе.

ОЦЛ.4

Обнаружение и реагирование на поступление в информационную систему незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к функционированию информационной системы (защита от спама).

Ограничение программной среды

ОПС.2

Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения.

ОПС.2 У1

Использование средств автоматизации для применения и контроля параметров настройки компонентов программного обеспечения, влияющих на безопасность информации.

Контроль защищенности информации

АНЗ.5

Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступа, полномочий пользователей в информационной системе.

АНЗ.5 У1

Регистрация событий, связанных со сменой паролей пользователей, заведением и удалением учетных записей пользователей, изменением правил разграничения доступом и полномочий пользователей.