2.7 Указания по эксплуатации

2.7.1 Общие указания

При эксплуатации ПО «TIONIX Virtual Security» на объектах информатизации, обрабатывающих информацию ограниченного доступа, необходимо выполнение следующих ограничений:

  • использование средств защиты информации от несанкционированного доступа, имеющих сертификат соответствия ФСТЭК России, для защиты информации ограниченного доступа, а также операционных систем и систем управления базами данных, приведенных в разделе 8настоящего документа;
  • запрет на использования ПО «TIONIX Virtual Security» для обработки информации, содержащей сведения, составляющие государственную тайну;
  • ПО «TIONIX Virtual Security» должно устанавливаться на оборудование, соответствующее требованиям, определенным в настоящем документе;
  • наличие администратора безопасности, отвечающего за правильную эксплуатацию ПО «TIONIX Virtual Security»;
  • обеспечение физической сохранности средств вычислительной техники с установленным ПО «TIONIX Virtual Security» и исключение возможности доступа к ним посторонних лиц;
  • проведение периодического контроля целостности ПО «TIONIX Virtual Security» с помощью программ контроля целостности (не реже одного раза в месяц);
  • проведение периодической проверки на наличие актуальных уязвимостей (недостатков) в ПО «TIONIX Virtual Security» и среде его функционирования с использованием средств анализа защищенности (не реже одного раза в месяц);
  • проведение периодической проверки ПО «TIONIX Virtual Security» и среды его функционирования на наличие компьютерных вирусов с использованием средств антивирусной защиты (не реже одного раза в месяц).

Для всех компонентов среды функционирования ПО «TIONIX Virtual Security» должны быть установлены все актуальные обновления программного обеспечения, а также выполнены рекомендации разработчиков по безопасному конфигурированию, либо приняты меры по защите информации, нейтрализующие уязвимости.

Каналы передачи данных ПО «TIONIX Virtual Security», расположенные в пределах контролируемой зоны, должны быть защищены организационно-техническими мерами. Для защиты каналов передачи данных ПО «TIONIX Virtual Security», выходящих за пределы контролируемой зоны, должны применяться средства криптографической защиты информации, имеющие действующий сертификат ФСБ России.

При использовании ПО «TIONIX Virtual Security» в государственных информационных системах и информационных системах персональных данных оператором информационной системы должны быть выполнены все требования к усилениям мер защиты.

2.7.2 Устранение недостатков

Предприятие-изготовитель принимает на себя обязательства по устранению недостатков в ПО «TIONIX Virtual Security» на протяжении всего жизненного цикла ПО «TIONIX Virtual Security».

Предприятие-изготовитель осуществляет прием сообщений о недостатках от потребителей по телефону +7(495)645-68-89 и электронной почте info@tionix.ru.

Предприятие-изготовитель периодически, не реже одного раза в месяц, должно проводить поиск известных (подтвержденных) уязвимостей в общедоступных источниках информации об уязвимостях.

В качестве общедоступных источников, в первую очередь, должны использоваться база данных уязвимостей (далее - БДУ) в составе банка данных угроз безопасности информации ФСТЭК России (www.bdu.fstec.ru), а также следующие дополнительные источники:

Предприятие-изготовитель должен провести анализ выявленных уязвимостей на предмет возможности их использования для нарушения безопасности. При анализе уязвимостей необходимо учитывать следующие критерии:

  • тип ошибки;
  • версию программного обеспечения, подверженную уязвимости;
  • уровни опасности уязвимости (критическая, высокая, средняя, низкая);
  • информацию об устранении.

Процедура устранения уязвимостей ПО «TIONIX Virtual Security» должна обеспечивать возможность обновления ПО для устранения актуальных уязвимостей.

В случае выявления информации об уязвимости ПО «TIONIX Virtual Security» и сред его функционирования из различных источников и отсутствия информации об этой уязвимости в БДУ, предприятие-изготовитель предоставляет информацию о данной уязвимости в ФСТЭК России для размещения в БДУ.

Устранение недостатков должно предусматривать доведение информации о недостатках ПО «TIONIX Virtual Security», а также о компенсирующих мерах по защите информации или ограничениях по применению, а также доработку ПО «TIONIX Virtual Security», в том числе разработку обновлений ПО «TIONIX Virtual Security» или разработку мер по защите информации, нейтрализующих недостаток. Общий срок устранения недостатка ПО «TIONIX Virtual Security» не должен превышать 60 дней с момента выявления недостатка.

При выявлении уязвимостей ПО «TIONIX Virtual Security» предприятие-изготовитель должен осуществить следующие мероприятия:

  • в случае отсутствия, на момент проверки информации по выявленным уязвимостям ПО «TIONIX Virtual Security», доступных релизов ПО «TIONIX Virtual Security» с устраненными уязвимостями, разработать компенсирующие меры по защите информации или ограничения по применению ПО «TIONIX Virtual Security», снижающие возможность эксплуатации уязвимостей;
  • довести информацию о компенсирующих мерах и ограничениях по применению до потребителей в срок не более 48 часов с момента выявления недостатка;
  • доработать ПО «TIONIX Virtual Security» или его отдельные компоненты, в том числе выпустить обновление ПО «TIONIX Virtual Security» или, в случае невозможности устранения уязвимостей ПО «TIONIX Virtual Security» путем применения обновления, выпустить меры по защите информации, нейтрализующие недостаток и внести необходимые изменения в эксплуатационную документацию;
  • провести тестирование доработанного ПО «TIONIX Virtual Security» или его отдельных компонентов на предмет влияния обновлений ПО «TIONIX Virtual Security» на его функции безопасности, подтверждения устранения уязвимостей, невнесения новых уязвимостей в ПО «TIONIX Virtual Security»;
  • довести информацию о недостатках ПО «TIONIX Virtual Security», о компенсирующих мерах по защите информации или ограничениях по применению, а также о выпуске обновлений ПО «TIONIX Virtual Security» или мерах по защите информации, нейтрализующих недостаток, до каждого потребителя, сертифицированного ПО «TIONIX Virtual Security» путем отправки сообщений на электронные адреса потребителей;
  • обеспечить гарантированную доставку обновлений ПО «TIONIX Virtual Security» потребителям;
  • если уязвимость не устраняется обновлением ПО «TIONIX Virtual Security» или реализацией мер по защите информации, нейтрализующих недостаток, предприятие-изготовитель незамедлительно и гарантированно, с подтверждением, сообщает об этом всем потребителям и в ФСТЭК России. Потребители прекращают применение ПО «TIONIX Virtual Security».

Если потребитель не может выполнить установку обновления ПО «TIONIX Virtual Security» и/или реализовать меры по защите информации, нейтрализующие недостаток ПО «TIONIX Virtual Security», то он прекращает его применение.

2.7.3 Процедура обновления

При внесении изменений в ПО «TIONIX Virtual Security» предприятие-изготовитель проводит испытания в связи с внесением изменений (при необходимости для проведения испытаний привлекается испытательная лаборатория). В случае внесения в ПО «TIONIX Virtual Security» изменений, связанных с устранением уязвимостей, процедура обновления ПО «TIONIX Virtual Security» потребителем проводится до проведения испытаний. В случае внесения в ПО «TIONIX Virtual Security» иных изменений процедура обновления ПО «TIONIX Virtual Security» потребителем возможна только при положительных результатах испытаний.

Процедура обновления должна предусматривать доведение информации о необходимости обновления ПО «TIONIX Virtual Security» и обеспечение гарантированной доставки обновлений ПО «TIONIX Virtual Security» потребителям. Доведение информации о выпуске обновлений ПО «TIONIX Virtual Security» должно осуществляться до каждого потребителя, сертифицированного ПО «TIONIX Virtual Security» путем отправки сообщений на электронные адреса потребителей. Предприятие изготовитель предоставляет потребителям обновления ПО «TIONIX Virtual Security» на оптическом диске.

При получении обновлений ПО «TIONIX Virtual Security» перед их установкой необходимо проверить подлинность и целостность полученных файлов обновлений. Для установки обновлений администратор безопасности должен выполнить следующие действия:

  • проверить подлинность файлов обновлений;
Если подлинность файлов обновлений не подтверждена, необходимо обратиться в службу поддержки предприятия-изготовителя.
  • провести расчет контрольных сумм файлов обновлений с использованием программы фиксации исходного состояния программного комплекса «Сканер-ВС» по алгоритму «ФИКС (Уровень-1 )»;
Сравнить контрольные суммы файлов обновлений с указанными на оптическом диске. При расхождении контрольных сумм с эталонными значениями необходимо обратиться в службу поддержки предприятия-изготовителя.
  • произвести установку актуальных обновлений.