1.1.2 Функциональность ПК «TIONIX Virtual Security»

ПК «TIONIX Virtual Security» обеспечивает решение следующих групп задач:

  • идентификация и аутентификация (:numref:``);
  • управление учетными записями пользователей (:numref:``);
  • информирование пользователя о статусе в системе безопасности (:numref:``);
  • контроль количества параллельных сеансов пользователей (:numref:``);
  • блокирование сеансов доступа пользователей (:numref:``);
  • разграничение действий пользователя на категории (:numref:``);
  • интеграция с внешними информационными системами (:numref:``);
  • управление событиями безопасности (:numref:``).

1.1.2.1 Идентификация и аутентификация

Функциональность в части идентификации и аутентификации:

  • идентификация пользователей по именам учетных записей и аутентификация пользователей с использованием паролей;

  • двухфакторная аутентификация для следующих видов доступа:

    • удаленного доступа администраторов и пользователей при использовании сети связи общего пользования, в том числе сети Интернет;
    • локального доступа администраторов и пользователей для локального доступа.
  • управление идентификаторами пользователей:

    • формирование идентификатора, который однозначно идентифицирует пользователя;
    • присвоение идентификатора пользователю;
    • предотвращение повторного использования идентификатора пользователя, в течение установленного администратором системы периода времени;
    • блокирование идентификатора пользователя после установленного администратором системы времени неиспользования;
    • исключение повторного использования идентификатора пользователя в течение заданного временного периода (минимальное значение – 3 года);
    • обеспечение блокирования идентификатора пользователя в случае неиспользования в течение заданного временного периода (минимальное значение – 45 дней).
  • управление средствами аутентификации (аутентификационной информацией) пользователей и устройств в ПК:

    • генерация и выдача начальной аутентификационной информации;

    • установление характеристик пароля:

      • задание параметров минимальной сложности пароля (определяемые администратором системы требования к регистру, количество символов, сочетание букв верхнего и нижнего регистра, цифры и специальные символы);
      • задание параметра – допустимое минимальное количество измененных символов при создании новых паролей;
      • задание параметра - максимальное время действия пароля;
      • запрет на использование пользователями определенного администратором системы числа последних использованных паролей при создании новых паролей.
      • блокирование (прекращение действия) и замена утерянных, скомпрометированных или поврежденных средств аутентификации;
      • обновление аутентификационной информации (замена средств аутентификации) с периодичностью, установленной администратором системы;
      • задание количества символов пароля - не менее восьми символов и не более 30 символов;
      • задание количества символов алфавита пароля - не менее 70 символов;
      • задание максимального количества неуспешных попыток аутентификации (ввода неправильного пароля) от трех до четырех неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки;
      • блокирование учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации на период времени от 15 до 60 минут;
      • обеспечение операции смены паролей не более, чем через 60 дней.
  • осуществление защиты аутентификационной информации в процессе ее ввода для аутентификации от возможного использования лицами, не имеющими на это полномочий. Защита осуществляется путем исключения отображения для пользователя действительного значения аутентификационной информации. Вводимые символы пароля должны отображаются условными знаками «»;

  • осуществление идентификации и аутентификации пользователей, не являющихся внешними пользователями;

  • осуществление идентификации и аутентификации внешних пользователей в целях предоставления государственных услуг с использованием единой системы идентификации и аутентификации (ЕСИА) либо иных систем, работающих по стандарту OpenID Connect, с которыми установлено информационное взаимодействие на основании заключенного договора (соглашения), а также с иными информационными системами, информационное взаимодействие с которыми необходимо для функционирования при наличии подтверждения выполнения во внешней информационной системе предъявленных к ней требований о защите информации или защите персональных данных.

1.1.2.2 Управление учетными записями пользователей

Функциональность в части управления учетными записями пользователей:

  • управление учетными записями пользователей: заведение, активация, блокирование, уничтожение учетных записей;

  • поддержка управления учетными записями с помощью автоматизированных средств, осуществляет автоматическое блокирование временных учетных записей пользователей по окончании установленного времени для их использования, а также неактивных (неиспользуемых) учетных записей пользователей после периода время неиспользования более 45 дней;

  • реализация следующих функций управления учетными записями пользователей:

    • объединение учетных записей в группы;
    • временная учетная запись может быть заведена для пользователя на ограниченный срок для выполнения задач, требующих расширенных полномочий, или для проведения настройки, тестирования автоматизированной/ информационной системы, для организации гостевого доступа.
  • реализация ролевого метода управления доступом субъектов и обеспечение следующих действий:

    • разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы;
    • назначение прав и привилегий пользователям и запускаемым от их имени процессам, администраторам и лицам, обеспечивающим функционирование информационной системы, минимально необходимых для выполнения ими своих должностных обязанностей (функций), и санкционирование доступа к объектам доступа в соответствии с минимально необходимыми правами и привилегиями;
    • предоставление права и привилегии по доступу к функциям безопасности (параметрам настройки) исключительно администратору, наделенному полномочиями по администрированию.
  • контроль и возможность установки ограничения количества неуспешных попыток входа пользователя в ПК и блокирование учетной записи пользователя при превышении пользователем ограничения количества неуспешных попыток входа, с возможностью разблокирования только администратором.

1.1.2.3 Информирование пользователя о статусе в системе безопасности

Функциональность в части информирования пользователя о статусе в системе безопасности:

  • информирование пользователя при его входе в ПК о том, что в нем реализованы меры по обеспечению защиты информации;
  • реализация оповещения пользователя после успешного входа в ПК о его предыдущем входе. Данные о предыдущем входе должны быть отражены в интерфейсе личного кабинета пользователя.

1.1.2.4 Контроль количества параллельных сеансов пользователей

Функциональность в части контроля параллельных сеансов пользователей:

  • ограничение числа параллельных сеансов доступа пользователей для каждой учетной записи пользователя;
  • предоставление возможности контроля и отображения администратору числа параллельных сессий для каждой учетной записи пользователей.

1.1.2.5 Блокирование сеансов доступа пользователей

Функциональность в части блокирования сеансов доступа пользователей:

  • блокирование сеанса доступа пользователя после установленного оператором времени его бездействия (неактивности) в информационной системе или по запросу пользователя;
  • обеспечение условий блокирования сеанса доступа пользователя: по истечении пяти минут бездействия (неактивности);
  • на устройстве отображения (мониторе) после блокировки сеанса не должна отображаться информация сеанса пользователя.

1.1.2.6 Разграничение действий пользователя на категории

Речь идет о разграничении действий пользователя на категории (до и после идентификации/аутентификации) и о разрешении/запрете на эти действия в зависимости от категории.

Функциональность в части разграничения действий пользователя на категории (до и после идентификации/аутентификации) и разрешения/запрета этих действий в зависимости от категории:

  • разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации;
  • установка Администратором перечня действий пользователей, разрешенных до прохождения ими процедур идентификации и аутентификации, и запрет действий пользователей, не включенных в перечень разрешенных действий, до прохождения ими процедур идентификации и аутентификации.

1.1.2.7 Интеграция с внешними информационными системами

Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы) в целях межведомственного электронного взаимодействия, исполнения государственных и муниципальных функций, формирования базовых государственных информационных ресурсов осуществляется с использованием:

  • единой системы идентификации и аутентификации (ЕСИА);
  • информационных систем, работающих по стандарту OpenID Connect, с которыми установлено информационное взаимодействие на основании заключенного договора (соглашения);
  • иных информационных систем, информационное взаимодействие с которыми необходимо для функционирования. Внешние информационные системы должны отвечать предъявленным к ним требованиям о защите информации или защите персональных данных (наличие подтверждения выполнения предъявленных к ним требований).

Информационные системы выступающие источниками аутентификационной информации для ПК:

  • ЕСИА;
  • OpenID Connect системы;
  • LDAP-федерации (в том числе с поддержкой Kerberos).

Информационные системы для которых ПК выступает источником аутентификационной информации:

  • OpenID Connect системы;
  • LDAP (только аутентификация).

1.1.2.8 Управление событиями безопасности

Функциональность в части управления событиями безопасности:

  • определение событий безопасности, подлежащих регистрации, и сроков их хранения;
  • включение в перечень событий безопасности, подлежащих регистрации, события, связанные с действиями от имени привилегированных учетных записей (администраторов);
  • включение в перечень событий безопасности, подлежащих регистрации, события, связанные с действиями от имени привилегированных учетных записей (администраторов) и с изменением привилегий учетных записей (регистрация входа и выхода администраторов, регистрация изменения параметров учетных записей администраторов);
  • хранение записей о выявленных событиях безопасности и записей системных журналов, которые служили основанием для регистрации события безопасности;
  • определение состава и содержания информации о событиях безопасности, подлежащих регистрации. Состав и содержание информации о событиях безопасности должны обеспечить возможность идентификации типа события безопасности, даты и времени события безопасности, идентификационной информации источника события безопасности, результат события безопасности (успешно или неуспешно), субъект доступа (пользователь и (или) процесс), связанный с данным событием безопасности.
При регистрации входа (выхода) субъектов доступа в ПО «Tionix Virtual Security» состав и содержание информации должны включать дату и время входа (выхода) в автоматизированную/информационную систему (из системы), результат попытки входа (успешная или неуспешная), идентификатор, предъявленный при попытке доступа;
  • осуществление централизованного, автоматизированного сбора, записи и хранения информации о событиях безопасности в течение установленного времени хранения;
  • осуществление реагирования на сбои при регистрации событий безопасности путем изменения администраторами параметров сбора, записи и хранения информации о событиях безопасности, в том числе отключение записи информации о событиях безопасности от части компонентов информационной системы, запись поверх устаревших хранимых записей событий безопасности;
  • осуществление просмотра и анализа информации о действиях отдельных пользователей. Сведения о действиях отдельных пользователей предоставляются администратору для просмотра и анализа с целью расследования причин возникновения инцидентов в соответствии с законодательством РФ.

1.1.2.9 Контроль за точностью, полнотой и правильностью вводимых пользователем данных

Функциональность в части контроля за точностью, полнотой и правильностью данных, вводимых в ПК пользователем:

  • осуществление контроля точности, полноты и правильности данных, вводимых в ПК, обеспечивается путем установления и проверки соблюдения форматов ввода данных (допустимые наборы символов) для подтверждения того, что ввод информации соответствует заданному оператором формату и содержанию;
  • осуществление контроля за ошибочными действиями пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действиях для подтверждения того, что ввод информации соответствует заданному оператором формату и содержанию.

1.1.2.10 Функции ПО «Tionix Virtual Security» в среде виртуализации

Функциональность ПО «Tionix Virtual Security» в среде виртуализации:

  • идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации;

  • взаимная идентификация и аутентификация пользователя и сервера виртуализации (виртуальных машин) при удалённом доступе;

  • управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин;

  • обеспечение доступа:

    • к операциям, выполняемым с помощью средств управления виртуальными машинами, в том числе к операциям создания, запуска, останова, создания копий, удаления виртуальных машин, который должен быть разрешен только администраторам виртуальной инфраструктуры;
    • к конфигурации виртуальных машин только администраторам виртуальной инфраструктуры.
  • регистрация событий безопасности в виртуальной инфраструктуре;

  • централизованный сбор, хранение и анализ информации о зарегистрированных событиях безопасности виртуальной инфраструктуры;

  • включение информации о дате и времени запуска (завершения) программ и процессов в гипервизоре и хостовой операционной системе при регистрации запуска (завершения) работы компонентов виртуальной инфраструктуры в состав и содержание информации, подлежащей регистрации;

  • регистрация событий безопасности, связанных с перемещением и размещением виртуальных машин;

  • управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры;

  • фильтрация сетевого трафика от (к) каждой гостевой операционной системы, в виртуальных сетях гипервизора и для каждой виртуальной машины;

  • обеспечение запрета на прямое (с использованием механизмов, встроенных в средства виртуализации) взаимодействие виртуальных машин между собой. Для служебных данных обеспечивается контроль прямого взаимодействия виртуальных машин между собой;

  • определение перечня протоколов и портов (включая динамически выделяемые порты):

    • необходимых для работы приложений и сервисов в рамках виртуальной инфраструктуры;
    • необходимых для работы приложений и сервисов между виртуальной инфраструктурой и сетями, являющимися внешними по отношению к виртуальной инфраструктуре.
  • управление перемещением виртуальных машин и обрабатываемых на них данных;

  • миграция виртуальных машин в пределах контура защищаемой информационной системы только на контролируемые им (или уполномоченным лицом) технические средства (сервера виртуализации) с применением механизмов централизованного управления и с обеспечением непрерывности регистрации событий безопасности в виртуальных машинах в процессе миграции;

  • обработка отказов перемещения виртуальных машин;

  • контроль целостности виртуальной инфраструктуры и ее конфигураций;

  • контроль состава аппаратной части компонентов виртуальной инфраструктуры;

  • осуществление резервного копирования конфигурации виртуальной инфраструктуры с помощью средств операционной системы, внешних средств резервного копирования, либо техническими мероприятиями:

    • данных;
    • технических средств;
    • программного обеспечения виртуальной инфраструктуры;
    • каналов связи внутри виртуальной инфраструктуры.
  • сегментирование виртуальной инфраструктуры для обработки информации отдельным пользователем и (или) группой пользователей;

  • логическое сегментирование виртуальной инфраструктуры, предусматривающее выделение группы виртуальных машин, предназначенных для решения выделенных (обособленных) задач.