2.6 Системные требования

2.6.1 Действия по приемке поставленного средства

  • Проверка комплектности.

Проверка комплектности ПО «TIONIX Virtual Security» производится сравнением комплектности предъявленного к приемке экземпляра ПО «TIONIX Virtual Security» с составом:

Наименование Примечание.
1

Оптический диск, содержащий:

  • установочный пакет ПО «TIONIX Virtual Security»,
  • комплект эксплуатационной документации в составе:
    • Руководство администратора RU.НРФЛ.00002-01.91.01
  • 1шт.
  • 1шт.
  • 1шт.
2 Пластиковый футляр для хранения оптического диска 1шт.
3 Заверенная копия выданного ФСТЭК России сертификата соответствия Системы сертификации средств защиты информации по требованиям безопасности информации № POCC RU.0001.01БИ00 1шт., на бумажном носителе
4 Формуляр RU.НРФЛ.00002-01.30.01 1шт., на бумажном носителе
  • Проверка упаковки и маркировки

Проверку проводят путем проверки правильности упаковки оптического диска в футляр, а также маркировки, нанесенной на них.

  • Проверка требований к документации

Документация не должна иметь дефектов после изготовления и должна соответствовать подлинникам документации, хранящимся в архиве предприятия-изготовителя.

В комплект документации ПО «TIONIX Virtual Security» должны входить:

  • спецификация (ГОСТ 19.202-78), содержащая сведения о составе ПО «TIONIX Virtual Security» и документации на него;
  • текст программы (ГОСТ 19.401-78), содержащий исходные тексты программ, входящих в состав ПО «TIONIX Virtual Security»;
  • описание программы (ГОСТ 19.402-78), содержащее основные сведения о составе (с указанием контрольных сумм файлов, входящих в состав ПО «TIONIX Virtual Security»), логической структуре и среде функционирования ПО «TIONIX Virtual Security», а также описание методов, приемов и правил эксплуатации средств технологического оснащения при создании ПО «TIONIX Virtual Security»;
  • формуляр (ГОСТ 19.501-78), содержащий общие сведения о программе, основные характеристики, комплектность, свидетельство о приёмке, свидетельство об упаковке и маркировке, гарантийные обязательства, сведения о рекламациях;
  • описание применения (ГОСТ 19.502-78), содержащее сведения о назначении ПО «TIONIX Virtual Security» области применения, применяемых методах, классе решаемых задач, ограничениях при применении, минимальной конфигурации технических средств, среде функционирования и порядке работы;
  • руководство администратора, содержащее назначение и область применения ПО «TIONIX Virtual Security», состав ПО «TIONIX Virtual Security», системные требования для ПО «TIONIX Virtual Security» и его компонентов, сведения о работе с ПО «TIONIX Virtual Security».
  • Проверка основных параметров и характеристик (свойств).

Проверка основных параметров и характеристик (свойств) выполняется в соответствии с методикой испытаний.

2.6.2 Основные параметры и методы контроля

  • ПО «TIONIX Virtual Security» должен обеспечивать идентификацию пользователей по именам учетных записей пользователей. ПО «TIONIX Virtual Security» должен обеспечивать аутентификацию пользователей с использованием паролей (мера защиты ИАФ.1 [1, 2, 3, 4] в части идентификации по имени пользователя и аутентификации по паролю пользователя). Если эти параметры введены неправильно, ПО «TIONIX Virtual Security», должен осуществлять блокировку учетной записи согласно заданным параметрам. Доступ к параметрам безопасности в консоли управления ПО «TIONIX Virtual Security», должен быть разрешен только пользователям с привилегией «Администратор».

    ПО «TIONIX Virtual Security» должен обеспечивать многофакторную (двухфакторную) аутентификацию с использованием ввода пароля и ввода одноразового пароля, полученного от стороннего ПО, указанного в разделе 10 технических условий RU.НРФЛ.00002-01.90.01, для следующих видов и субъектов доступа (в части усиления 1 меры защиты ИАФ.1):

    • удаленного доступа администраторов и пользователей при использовании сети связи общего пользования, в том числе сети Интернет;
    • локального доступа администраторов и пользователей для локального доступа.
  • ПО «TIONIX Virtual Security» должен реализовывать следующие функции управления идентификаторами пользователей (мера защиты ИАФ.3 [1, 2, 3, 4] в части формирования идентификатора, присвоения идентификатора пользователю):

    • формирование идентификатора, который однозначно идентифицирует пользователя;
    • присвоение идентификатора пользователю;
    • предотвращение повторного использования идентификатора пользователя, в течение установленного администратором периода времени;
    • блокирование идентификатора пользователя после установленного администратором времени неиспользования.

ПО «TIONIX Virtual Security» (в части усиления 1б, 2б меры защиты ИАФ.3) должен:

  • исключать повторное использование идентификатора пользователя в течение установленного администратором времени;
  • обеспечивать блокирование идентификатора пользователя в течение установленного администратором времени неиспользования идентификатора.
  • ПО «TIONIX Virtual Security» должен реализовывать следующие функции управления аутентификационной информацией пользователей (мера защиты ИАФ.4 [1, 2, 3, 4] в части изменения аутентификационной информации (средств аутентификации)):

    • генерация и выдача начальной аутентификационной информации;

    • установление политик пароля администратором (в части усиления 1г меры защиты ИАФ.4):

      • задание минимальной сложности пароля с определяемыми администратором требованиями к регистру, количеству символов, сочетанию букв верхнего и нижнего регистра, цифр и специальных символов;
      • задание минимального количества измененных символов при создании новых паролей;
      • задание максимального времени действия пароля;
      • запрет на использование пользователями определенного администратором числа последних использованных паролей при создании новых паролей;
      • блокирование (прекращения действия) и замена средств аутентификации;
      • обновление аутентификационной информации (замена средств аутентификации) с периодичностью, установленной администратором.
  • ПО «TIONIX Virtual Security» должен обеспечивать (в части усиления 1г меры защиты ИАФ.4):

    • установку администратором минимального количества символов пароля;
    • установку администратором минимального количество символов алфавита пароля;
    • установку администратором максимального количества неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки;
    • блокировку учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации на установленный администратором период времени;
    • установку максимального срока действия пароля.
  • ПО «TIONIX Virtual Security» должен осуществлять защиту аутентификационной информации в процессе ее ввода для аутентификации от возможного использования лицами, не имеющими на это полномочий (мера защиты ИАФ.5 [1, 2] в части защиты аутентификационной информации в процессе ее ввода для аутентификации от возможного использования лицами, не имеющими на это полномочий, мера защиты ИАФ.7 [3, 4]).

Защита обратной связи «система - субъект доступа» в процессе аутентификации обеспечивается исключением отображения для пользователя действительного значения аутентификационной информации и (или) количества вводимых пользователем символов аутентификационной информации. Вводимые символы пароля могут отображаться условными знаками «•».

  • ПО «TIONIX Virtual Security» должен осуществлять идентификацию и аутентификацию внешних пользователей (пользователи, интегрированные из портала Государственных услуг Российской Федерации «Электронного правительства» в ПО «TIONIX Virtual Security») (мера защиты ИАФ.6 [1, 2] в части осуществления идентификации и аутентификации внешних пользователей, мера защиты ИАФ.5 [3, 4]).
  • ПО «TIONIX Virtual Security» должен осуществлять управление учетными записями пользователей (мера защиты УПД.1 [1, 2, 3, 4] в части заведения, блокирования, сопоставления с ролями и уничтожения учетных записей пользователей): заведение, активация, блокирование, уничтожение учетных записей.

ПО «TIONIX Virtual Security» должен (в части усиления 1, 2, 3б меры защиты УПД.1): осуществлять автоматическое блокирование временных учетных записей пользователей по окончании установленного времени для их использования, а также неактивных (неиспользуемых) учетных записей пользователей после установленного администратором периода времени неиспользования .

ПО «TIONIX Virtual Security» должен устанавливать и реализовывать следующие функции управления учетными записями пользователей:

  • объединение учетных записей в группы;
  • временная учетная запись может быть заведена для пользователя на ограниченный срок.
  • ПО «TIONIX Virtual Security» должен обеспечивать реализацию ролевого метода управления доступом, предусматривающим управление доступом (мера защиты УПД.2 [1, 2, 3, 4] в части реализации управления доступом на основе ролей):

    • для субъектов доступа: пользователей ПО «TIONIX Virtual Security», внешних пользователей «TIONIX Virtual Security», администраторов «TIONIX Virtual Security»;
    • к объектам доступа: домен, подразделы домена;
    • при выполнении операций на чтение, запись, удаление и изменение на основе ролей субъектов доступа;
  • ПО «TIONIX Virtual Security» (мера защиты УПД.6 [1, 2, 3, 4] в части установки ограничения количества неуспешных попыток входа) должен обеспечивать установку ограничения количества неуспешных попыток входа пользователя в ПК и автоматическое блокирование учетных записей пользователя, внешнего пользователя и администратора (в части усиления 1 меры защиты УПД.6) при превышении ограничения количества неуспешных попыток входа, с возможностью разблокирования только администратором.

  • ПО «TIONIX Virtual Security» (мера защиты УПД.7 [1, 2, 3, 4] в части отображения информации о реализации мер по обеспечению защиты информации после идентификации и аутентификации пользователя) должен предупреждать пользователя и администратора при его входе в ПК о том, что в нем реализованы меры по обеспечению защиты информации.

  • ПО «TIONIX Virtual Security» (мера защиты УПД.8 [1, 2, 3, 4] в части отображения уведомления пользователя о его предыдущем входе в ПО «TIONIX Virtual Security») должен реализовывать оповещение пользователя после успешного входа в ПО «TIONIX Virtual Security» о его предыдущем входе. Данные о предыдущем входе должны быть отражены в интерфейсе личного кабинета пользователя ПО «TIONIX Virtual Security».

  • ПО «TIONIX Virtual Security» должен обеспечивать ограничение числа параллельных сеансов доступа пользователей для каждой учетной записи пользователя (мера защиты УПД.9 [1, 2, 3, 4] в части ограничения количества параллельных сеансов доступа пользователя).

ПО «TIONIX Virtual Security» (в части усиления 3 меры защиты УПД.9) должен предоставлять возможность контролировать и отображать администратору число параллельных сессий для каждой учетной записи пользователей.

  • ПО «TIONIX Virtual Security» (мера защиты УПД.10 [1, 2, 3, 4] в части блокирования сеанса доступа пользователя после установленного времени бездействия или по запросу пользователя) должен обеспечивать блокирование сеанса доступа пользователя после установленного администратором времени его бездействия (неактивности) в ПО «TIONIX Virtual Security» или по запросу пользователя или администратора.

ПО «TIONIX Virtual Security» (в части усиления 1б, 2 меры защиты УПД.10):

  • должен обеспечивать блокирование сеанса доступа пользователя по установленному администратором времени неактивности;
  • не должен отображать на устройстве отображения (мониторе) после блокировки сеанса информация сеанса пользователя.
  • ПО «TIONIX Virtual Security» (мера защиты УПД.11 [1, 2, 3, 4] в части действий пользователя до прохождения идентификации и аутентификации) должен обеспечивать разрешение действий пользователей, разрешенных до идентификации и аутентификации. Администратором должен быть установлен перечень действий пользователей, разрешенных до прохождения ими процедур идентификации и аутентификации.
  • ПО «TIONIX Virtual Security» (мера защиты УПД.16 [1, 2] в части передачи токена сессии в другие системы, мера защиты УПД.14 [3, 4]) должен обеспечивать передачу токена сессии в другие системы, работающие по стандарту OpenID Connect. В токене сессии должны содержаться: время прохождения аутентификации и роль аутентифицированного пользователя.
  • В ПО «TIONIX Virtual Security» должно быть реализовано определение событий безопасности, подлежащих регистрации, и сроков их хранения (мера защиты РСБ.1 [1, 2] в части определения событий безопасности, подлежащих регистрации и срокам хранения, мера защиты АУД.4 [3, 4]).

ПО «TIONIX Virtual Security» (в части усиления 2, 3, 4б меры защиты РСБ.1) должен:

  • включать в перечень событий безопасности, подлежащих регистрации, события, связанные с действиями от имени привилегированных учетных записей (администраторов);
  • включать в перечень событий безопасности, подлежащих регистрации, события, связанные с действиями от имени привилегированных учетных записей (администраторов) и с изменением привилегий учетных записей (регистрация входа и выхода администраторов, регистрация изменения параметров учетных записей администраторов).
  • В ПО «TIONIX Virtual Security» должно быть реализовано определение состава и содержания информации о событиях безопасности, подлежащих регистрации (мера защиты РСБ.2 [1, 2] в части определения состава и содержания информации о событиях безопасности). Состав и содержание информации о событиях безопасности должны обеспечить возможность идентификации типа события безопасности, даты и времени события безопасности, идентификационной информации источника события безопасности, результат события безопасности (успешно или неуспешно), субъект доступа (пользователь и администратор), связанный с данным событием безопасности. При регистрации входа (выхода) субъектов доступа в ПО «TIONIX Virtual Security» состав и содержание информации должны включать дату и время входа (выхода) в ПО «TIONIX Virtual Security», результат попытки входа (успешная или неуспешная), идентификатор, предъявленный при попытке доступа.
  • В ПО «TIONIX Virtual Security» должен осуществляться сбор и запись информации о событиях безопасности в течение установленного времени хранения (мера защиты РСБ.3 [1, 2] в части сбора и записи информации о событиях безопасности).

В ПО «TIONIX Virtual Security» (в части усиление 1 меры защиты РСБ.3) должно быть обеспечено централизованное автоматизированное управление сбором, записью и хранением информации о событиях безопасности.

  • В ПО «TIONIX Virtual Security» должна быть реализована возможность реагирования на сбои при регистрации событий безопасности путем изменения администраторами параметров сбора и записи информации о событиях безопасности, отключение записи информации о событиях безопасности по ПО «TIONIX Virtual Security», запись поверх устаревших хранимых записей событий безопасности (мера защиты РСБ.4 [1, 2] в части изменения параметров сбора и записи информации).
  • В ПО «TIONIX Virtual Security» должна обеспечиваться защита информации о событиях безопасности (мера защиты РСБ.7). Защита информации о событиях безопасности (записях регистрации (аудита)) должна обеспечиваться применением мер защиты информации от неправомерного доступа, уничтожения или модифицирования, и в том числе должна включать защиту средств ведения регистрации (аудита) и настроек механизмов регистрации событий.
  • В ПО «TIONIX Virtual Security» должна иметься возможность просмотра информации о действиях отдельных пользователей. (мера защиты РСБ.8 [1, 2] в части просмотра событий безопасности отдельных пользователей, мера защиты АУД. 9 [3, 4]).
  • В ПО «TIONIX Virtual Security» должен осуществляться контроль полноты и правильности данных, вводимых в ПО. Контроль должен обеспечиваться путем установления и проверки соблюдения форматов ввода данных (допустимые наборы символов) для подтверждения того, что ввод информации соответствует заданному администратором формату и содержанию (мера защиты ОЦЛ.7 [1, 2] в части осуществления контроля полноты и правильности вводимых данных в ПО «TIONIX Virtual Security», мера защиты ОЦЛ.4 [3, 4]).
  • В ПО «TIONIX Virtual Security» должен осуществляться контроль ошибочных действий пользователей по вводу информации и предупреждение пользователей об ошибочных действиях для подтверждения того, что ввод информации соответствует заданному оператором формату и содержанию (мера защиты ОЦЛ.8 [1, 2] в части осуществления контроля ошибочных действий пользователей по вводу информации и предупреждения об ошибочных действиях ввода информации, мера защиты ОЦЛ.5 [3, 4]).
  • ПО «TIONIX Virtual Security» должно осуществлять идентификацию и аутентификацию субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации, в соответствии с ИАФ.1 (п. 2.1.1 ТУ), ИАФ.3 (п. 2.1.2 ТУ), ИАФ.4 (п. 2.1.3 ТУ) ИАФ.5 (п. 2.1.4 ТУ) и ИАФ.6 (п. 2.1.5 ТУ). Субъектами доступа для ПО «TIONIX Virtual Security» являются администраторы и пользователи. Объектами доступа являются виртуальные среды (мера защиты ЗСВ.1 [1, 2] в части идентификации и аутентификации субъектов доступа и объектов доступа в виртуальной инфраструктуре).
  • В ПО «TIONIX Virtual Security» должно осуществляться управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, внутри виртуальных машин (мера защиты ЗСВ.2 [1, 2] в части осуществления управления доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре).

ПО «TIONIX Virtual Security» (в части усиление 1, 2 меры защиты ЗСВ.2) должен обеспечивать:

  • доступ к операциям, выполняемым с помощью средств управления виртуальными машинами к операциям создания, запуска, останова, создания копий, удаления виртуальных машин, который должен быть разрешен только администраторам виртуальной инфраструктуры;
  • доступ к конфигурации виртуальных машин только администраторам виртуальной инфраструктуры.
  • В ПО «TIONIX Virtual Security» должна осуществляться регистрация событий безопасности в виртуальной инфраструктуре (мера защиты ЗСВ.3 [1, 2] в части регистрации событий безопасности в виртуальной инфраструктуре).

ПО «TIONIX Virtual Security» (в части усиление 1, 2, 3 меры защиты ЗСВ.3) должен обеспечивать:

  • централизованный сбор и анализ информации о зарегистрированных событиях безопасности виртуальной инфраструктуры;
  • при регистрации запуска (завершения) работы компонентов виртуальной инфраструктуры состав и содержание информации, подлежащей регистрации, должны включать дату и время запуска (завершения) программ и процессов в гипервизоре и хостовой операционной системе;
  • регистрация событий безопасности, связанных с перемещением и размещением виртуальных машин.
  • В ПО «TIONIX Virtual Security» должно осуществляться управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры (мера защиты ЗСВ.4 [1, 2] в части управления потоками информации между компонентами виртуальной инфраструктуры).

ПО «TIONIX Virtual Security» (в части усиление 2, 3, 6, 7 меры защиты ЗСВ.4) должен обеспечивать:

  • фильтрацию сетевого трафика от (к) каждой гостевой операционной системы, в виртуальных сетях гипервизора и для каждой виртуальной машины;
  • запрет прямого (с использованием механизмов, встроенных в средства виртуализации) взаимодействия виртуальных машин между собой; для служебных данных должен обеспечиваться контроль прямого взаимодействия виртуальных машин между собой;
  • определение перечня протоколов и портов (включая динамически выделяемые порты), необходимых для работы приложений и сервисов в рамках виртуальной инфраструктуры;
  • определение перечня протоколов и портов (включая динамически выделяемые порты), необходимых для работы приложений и сервисов между виртуальной инфраструктурой и сетями, являющимися внешними по отношению к виртуальной инфраструктуре.
  • В ПО «TIONIX Virtual Security» должна обеспечиваться доверенная загрузка серверов виртуализации, виртуальных машин (контейнеров) и серверов управления виртуализацией в соответствии с УПД.17 (мера защиты ЗСВ.5)

Доверенная загрузка должна обеспечивать блокирование попыток несанкционированной загрузки гипервизора, хостовой и гостевых операционных систем.

Доверенная загрузка гипервизоров должна обеспечивается с использованием средств доверенной загрузки, функционирующих на серверах виртуализации.

Доверенная загрузка виртуальных машин (контейнеров) должна обеспечиваться с использованием многокомпонентных средств доверенной загрузки, отдельные компоненты которых должны функционировать в гипервизорах.

В ПО «TIONIX Virtual Security» в части усиления ЗСВ.5

  • должна обеспечиваться доверенная загрузка автоматизированных рабочих мест администраторов управления средствами виртуализации.
  • В ПО «TIONIX Virtual Security» должно осуществляться управление перемещением виртуальных машин и обрабатываемых на них данных (мера защиты ЗСВ.6 [1, 2] в части осуществления управления перемещением виртуальных машин).

ПО «TIONIX Virtual Security» (в части усиление 1, 2, 3, 4 меры защиты ЗСВ.6) должен обеспечивать:

  • перемещение виртуальных машин в пределах контура защищаемой ПО «TIONIX Virtual Security» только на контролируемые им (или уполномоченным лицом) технические средства (сервера виртуализации);
  • бработку отказов перемещения виртуальных машин;
  • механизмы централизованного управления перемещением виртуальных машин;
  • непрерывность регистрации событий безопасности в виртуальных машинах в процессе перемещения.
  • В ПО «TIONIX Virtual Security» должен осуществляться контроль целостности виртуальной инфраструктуры и ее конфигураций (мера защиты ЗСВ.7 [1, 2] в части осуществления контроля целостности виртуальных машин).

ПО «TIONIX Virtual Security» (в части усиление 3 меры защиты ЗСВ.7) должен обеспечивать контроль состава аппаратной части компонентов виртуальной инфраструктуры.

  • В ПО «TIONIX Virtual Security» должно осуществляться резервное копирование конфигурации виртуальной инфраструктуры (мера защиты ЗСВ.8 [1, 2]). Резервное копирование данных, программного обеспечения виртуальной инфраструктуры должно быть обеспечено средствами ПО «TIONIX Virtual Security».
  • В ПО «TIONIX Virtual Security» должно осуществляться разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки информации отдельным пользователем и (или) группой пользователей (мера защиты ЗСВ.10 [1, 2] в части разбиения виртуальной инфраструктуры на сегменты).

ПО «TIONIX Virtual Security» (в части усиление 1 меры защиты ЗСВ.10) должен обеспечивать логическое сегментирование виртуальной инфраструктуры, предусматривающее выделение группы виртуальных машин.

  • В ПО «TIONIX Virtual Security» (в части усиления 1 и 2 меры защиты АНЗ.5) должен осуществляться контроль правил генерации и смены паролей пользователей, заведения и удаления записей пользователей. Должно осуществляться правила разграничения доступом, полномочий пользователей.