Приложение В (справочное) - Сводные данные об угрозах и мерах защиты информации, обрабатываемой с помощью технологий виртуализации ГОСТ Р 56938-2016

В разделе 5 настоящего стандарта приведена единая номенклатура угроз, которые могут быть вызваны применением технологий виртуализации. Однако на наличие угроз оказывают влияние особенности обработки информации с помощью различных объектов защиты (перечисленных в разделе 4 настоящего стандарта). Обобщенная схема зависимости наличия угроз от используемых объектов защиты приведена в таблице В.1.

Таблица В.1

Угроза безопасности информации

Объект защиты

Средства создания и управления виртуальной инфраструктурой

Виртуальная вычислительная система

Виртуальная система хранения данных

Виртуальный канал передачи данных

Отдельные виртуальные устройства обработки, хранения и передачи данных

Виртуальное средство ЗИ и средство ЗИ, предназначенное для использования в среде виртуализации

Угрозы атаки на активное и (или) пассивное виртуальное и (или) физическое сетевое оборудование из физической и (или) виртуальной сети

+

+

+

Угрозы атаки на виртуальные каналы передачи

+

Угрозы атаки на гипервизор из ВМ и (или) физической сети

+

Угрозы атаки на защищаемые виртуальные устройства из виртуальной и (или) физической сети

+

+

Угрозы атаки на защищаемые ВМ из виртуальной и (или) физической сети

+

+

Угрозы атаки на защищаемые ВМ со стороны других ВМ

+

+

Угрозы атаки на систему хранения данных из виртуальной и (или) физической сети

+

Угроза выхода процесса за пределы ВМ

+

+

Угроза НСД к данным за пределами зарезервированного адресного пространства, в том числе выделенного под виртуальное аппаратное обеспечение

+

+

Угроза нарушения изоляции пользовательских данных внутри ВМ

+

Угроза нарушения процедуры аутентификации субъектов виртуального информационного взаимодействия

+

+

+

+

Угроза перехвата управления гипервизором

+

Угроза перехвата управления средой виртуализации

+

+

Угроза неконтролируемого роста числа ВМ

+

Угроза неконтролируемого роста числа зарезервированных вычислительных ресурсов

+

Угроза нарушения технологии обработки информации путем несанкционированного внесения изменений в образы ВМ

+

+

Угроза НСД к хранимой в виртуальном пространстве информации ограниченного доступа

+

Угроза ошибки обновления гипервизора

+

В подразделах 6.1–6.6 настоящего стандарта определены номенклатуры мер защиты информации, реализация которых необходима для нейтрализации угроз, приведенных в таблице В.1. Обобщенная схема зависимости подлежащих к применению мер защиты информации от используемых объектов защиты приведена в таблице В.2.

Таблица В.2

Мера защиты информации

Объект защиты

Средства создания и управления виртуальной инфраструктурой

Виртуальная вычислительная система

Виртуальная система хранения данных

Виртуальный канал передачи данных

Отдельные виртуальные устройства обработки, хранения и передачи данных

Виртуальное средство ЗИ и средство ЗИ, предназначенное для использования в среде виртуализации

Автоматическое восстановление всех функций средств ЗИ, входящих в состав ИС

+

Автоматическое восстановление работоспособности системы хранения данных, подключенной к виртуальной инфраструктуре, в случае отказа одного или нескольких ее компонентов

+

Автоматическое изменение маршрутов передачи сетевых пакетов между компонентами виртуальной инфраструктуры внутри гипервизора

+

+

Блокировка доступа к объектам виртуальной инфраструктуры для субъектов доступа, не прошедших процедуру аутентификации

+

+

+

+

+

Выявление, анализ и блокирование внутри виртуальной инфраструктуры скрытых каналов передачи информации в обход реализованных мер ЗИ или внутри разрешенных сетевых протоколов

+

+

Защита от НСД к вводимой субъектами доступа, входящими в состав виртуальной инфраструктуры, аутентификационной информации

+

+

+

+

+

+

Защита от НСД к хранящейся в компонентах виртуальной инфраструктуры аутентификационной информации о субъектах доступа

+

+

+

+

+

+

Идентификация и аутентификация субъектов доступа при их локальном или удаленном обращении к объектам виртуальной инфраструктуры

+

+

+

+

+

+

Идентификация и аутентификация субъектов доступа при осуществлении ими попыток доступа к консолям управления параметрами аппаратного обеспечения

+

Продолжение таблицы В.2

Мера защиты информации

Объект защиты

Средства создания и управления виртуальной инфраструктурой

Виртуальная вычислительная система

Виртуальная система хранения данных

Виртуальный канал передачи данных

Отдельные виртуальные устройства обработки, хранения и передачи данных

Виртуальное средство ЗИ и средство ЗИ, предназначенное для использования в среде виртуализации

Контроль ввода (вывода) информации в (из) виртуальной инфраструктуре(ы)

+

Контроль ввода (вывода) информации в (из) ИС

+

Контроль ввода (вывода) информации в (из) систему(ы) хранения данных, входящей в состав виртуальной инфраструктуры

+

Контроль доступа субъектов доступа к изолированному адресному пространству в памяти гипервизора

+

+

Контроль доступа субъектов доступа к изолированному адресному пространству в памяти хостовой операционной системы

+

+

Контроль доступа субъектов доступа к средствам конфигурирования виртуального аппаратного обеспечения

+

+

Контроль доступа субъектов доступа к средствам конфигурирования гипервизора и ВМ

+

+

Контроль доступа субъектов доступа к средствам конфигурирования системы хранения данных, входящей в состав виртуальной инфраструктуры

+

Контроль доступа субъектов доступа к средствам конфигурирования хостовой и (или) гостевых операционных систем

+

+

Контроль доступа субъектов доступа к файлам–образам ВМ, а также файлам–образам, используемым для обеспечения работы виртуальных файловых систем

+

+

+

Контроль запуска гипервизора и ВМ на основе заданных критериев обеспечения безопасности информации (режима запуска, типа используемого носителя и т. д.)

+

+

Продолжение таблицы В.2

Мера защиты информации

Объект защиты

Средства создания и управления виртуальной инфраструктурой

Виртуальная вычислительная система

Виртуальная система хранения данных

Виртуальный канал передачи данных

Отдельные виртуальные устройства обработки, хранения и передачи данных

Виртуальное средство ЗИ и средство ЗИ, предназначенное для использования в среде виртуализации

Контроль запуска хостовой и (или) гостевых операционных систем на основе заданных критериев обеспечения безопасности информации (режима запуска, типа используемого носителя и т. д.)

+

+

Контроль передачи служебных информационных сообщений, передаваемых в виртуальных сетях хостовой операционной системы, по следующим характеристикам: составу, объему и др.

+

+

Контроль работоспособности (изношенности) машинных носителей информации, подключенных к виртуальной инфраструктуре, переход на дублирующие при необходимости

+

Контроль работоспособности дублирующих ключевых компонентов аппаратного обеспечения ИС

+

Контроль работоспособности дублирующих ключевых компонентов виртуальной инфраструктуры

+

+

Контроль целостности данных, хранимых на машинных носителях информации, подключенных к виртуальной инфраструктуре

+

Контроль целостности компонентов, критически важных для функционирования гипервизора и ВМ

+

+

Контроль целостности компонентов, критически важных для функционирования хостовой и гостевых операционных систем

+

+

Контроль целостности микропрограммного обеспечения аппаратной части ИС

+

Контроль целостности файлов, содержащих настройки ВМ

+

+

Продолжение таблицы В.2

Мера защиты информации

Объект защиты

Средства создания и управления виртуальной инфраструктурой

Виртуальная вычисли тельная система

Виртуальная система хранения данных

Виртуальный канал передачи данных

Отдельные виртуальные устройства обработки, хранения и передачи данных

Виртуальное средство ЗИ и средство ЗИ, предназначенное для использования в среде виртуализации

Контроль целостности файлов–образов ВМ, а также файлов–образов, используемых для обеспечения работы виртуальных файловых систем

+

+

Мониторинг загрузки мощностей физического и виртуального аппаратного обеспечения

+

+

+

Обеспечение возможности наследования установленных на уровне управления прав доступа субъектов доступа к объектам доступа на уровни виртуализации и оборудования

+

+

+

Обеспечение доверенных (защищенных) канала, маршрута передачи данных в (из) систему(ы) хранения данных, входящую в состав виртуальной инфраструктуры

+

Обеспечение доверенных канала, маршрута внутри виртуальной инфраструктуры между администратором, пользователем и средствами ЗИ (функциями безопасности средств ЗИ)

+

Обеспечение изоляции различных потоков данных, передаваемых и обрабатываемых компонентами виртуальной инфраструктуры хостовой операционной системы

+

+

Обеспечение подлинности сетевых соединений (сеансов взаимодействия) внутри виртуальной инфраструктуры, в том числе для защиты от подмены сетевых устройств и сервисов

+

+

+

+

Отключение неиспользуемых сетевых протоколов компонентами виртуальной инфраструктуры хостовой операционной системы

+

+

+

Продолжение таблицы В.2

Мера защиты информации

Объект защиты

Средства создания и управления виртуальной инфраструктурой

Виртуальная вычислительная система

Виртуальная система хранения данных

Виртуальный канал передачи данных

Отдельные виртуальные устройства обработки, хранения и передачи данных

Виртуальное средство ЗИ и средство ЗИ, предназначенное для использования в среде виртуализации

Передача и контроль целостности атрибутов безопасности (меток безопасности), связанных с информацией ограниченного доступа, обрабатываемой в виртуальной инфраструктуре, при обмене информацией с иными ИС

+

Предотвращение задержки или прерывания выполнения в виртуальной инфраструктуре процессов с высоким приоритетом со стороны процессов с низким приоритетом

+

Предотвращение задержки или прерывания выполнения процессов ВМ с высоким приоритетом со стороны процессов ВМ с низким приоритетом

+

+

Применение индивидуальных прав доступа к объектам доступа субъектов доступа для одного или совокупности компонентов виртуальной инфраструктуры

+

+

Проверка наличия вредоносных программ в загрузочных областях машинных носителей информации, подключенных к ИС

+

Проверка наличия вредоносных программ в микропрограммном обеспечении физического и виртуального аппаратного обеспечения

+

+

+

Проверка наличия вредоносных программ в операционной среде гипервизора системы хранения данных

+

Проверка наличия вредоносных программ в файлах конфигурации гипервизора и (или) ВМ

+

+

Проверка наличия вредоносных программ в файлах конфигурации хостовой и гостевых операционных системах

+

+

Продолжение таблицы В.2

Мера защиты информации

Объект защиты

Средства создания и управления виртуальной инфраструктурой

Виртуальная вычислительная система

Виртуальная система хранения данных

Виртуальный канал передачи данных

Отдельные виртуальные устройства обработки, хранения и передачи данных

Виртуальное средство ЗИ и средство ЗИ, предназначенное для использования в среде виртуализации

Проверка наличия вредоносных программ в файлах–образах ВМ, а также файлах– образах, используемых для обеспечения работы виртуальных файловых систем

+

+

+

Проверка оперативной памяти и файловой системы гипервизора и (или) ВМ на наличие вредоносных программ

+

+

Проверка оперативной памяти и файловой системы хостовой и (или) гостевых операционных систем на наличие вредоносных программ

+

+

Разделение данных в зависимости от уровня конфиденциальности обрабатываемой информации между компонентами системы хранения данных, отдельными машинными носителями информации, входящим в состав виртуальной, логическими дисками или между папками файлов

+

Разделение физических ресурсов между компонентами виртуальной инфраструктуры в зависимости от уровня конфиденциальности обрабатываемой информации

+

Размещение сенсоров и (или) датчиков систем обнаружения (предотвращения) вторжений в виртуальном аппаратном обеспечении

+

+

+

Размещение сенсоров и (или) датчиков систем обнаружения (предотвращения) вторжений в гипервизоре и (или) ВМ

+

+

Размещение сенсоров и (или) датчиков систем обнаружения (предотвращения) вторжений в хостовой и (или) гостевых операционных системах

+

+

Размещение системы хранения данных в защищенном сегменте ИС

+

Продолжение таблицы В.2

Мера защиты информации

Объект защиты

Средства создания и управления виртуальной инфраструктурой

Виртуальная вычислительная система

Виртуальная система хранения данных

Виртуальный канал передачи данных

Отдельные виртуальные устройства обработки, хранения и передачи данных

Виртуальное средство ЗИ и средство ЗИ, предназначенное для использования в среде виртуализации

Регистрация и учет запуска (завершения) работы компонентов виртуальной инфраструктуры

+

+

Регистрация входа (выхода) субъектов доступа в (из) гипервизор и (или) ВМ

+

+

Регистрация входа (выхода) субъектов доступа в (из) хостовой и (или) гостевых операционных систем

+

+

Регистрация запуска (завершения работы) гипервизора и (или) ВМ, программ и процессов в гипервизоре и (или) ВМ

+

+

Регистрация запуска (завершения работы) хостовой и (или) гостевых операционных систем, программ и процессов в хостовой и (или) гостевых операционных системах

+

+

Регистрация и учет изменений в составе программной и аппаратной части ИС во время ее функционирования и (или) в период ее аппаратного отключения

+

+

Регистрация изменений прав доступа к информации, хранящейся в системе хранения данных, входящей в состав виртуальной инфраструктуры

+

Регистрация изменений прав доступа к файлам–образам ВМ, а также файлам–образам, используемым для обеспечения работы виртуальных файловых систем

+

+

Регистрация изменений правил доступа к виртуальному аппаратному обеспечению

+

+

+

Регистрация изменений правил доступа к виртуальному и физическому аппаратному обеспечению системы хранения данных

+

Продолжение таблицы В.2

Мера защиты информации

Объект защиты

Средства создания и управления виртуальной инфраструктурой

Виртуальная вычислительная система

Виртуальная система хранения данных

Виртуальный канал передачи данных

Отдельные виртуальные устройства обработки, хранения и передачи данных

Виртуальное средство ЗИ и средство ЗИ, предназначенное для использования в среде виртуализации

Регистрация изменений состава и конфигурации виртуального аппаратного обеспечения

+

+

Регистрация изменений состава и конфигурации виртуального и физического аппаратного обеспечения системы хранения данных

+

Регистрация изменений состава и конфигурации ВМ

+

+

Регистрация изменений состава ПО и виртуального аппаратного обеспечения в гипервизоре и (или) ВМ

+

+

+

Регистрация изменений состава ПО и виртуального аппаратного обеспечения в хостовой и (или) гостевых операционных системах

+

+

+

Регистрация изменения правил доступа к информации ограниченного доступа, хранимой и обрабатываемой в гипервизоре и (или) ВМ

+

+

Регистрация изменения правил доступа к информации ограниченного доступа, хранимой и обрабатываемой в хостовой и (или) гостевых операционных системах

+

+

Резервирование пропускной способности канала связи для обеспечения стабильного взаимодействия между компонентами виртуальной инфраструктуры внутри гипервизора

+

+

Резервное копирование защищаемой информации в гипервизоре и (или) ВМ, хранимой на физических и (или) виртуальных носителях информации

+

+

Резервное копирование защищаемой информации в хостовой и (или) гостевых операционных системах, хранимой на физических и (или) виртуальных носителях информации

+

+

Продолжение таблицы В.2

Мера защиты информации

Объект защиты

Средства создания и управления виртуальной инфраструктурой

Виртуальная вычислительная система

Виртуальная система хранения данных

Виртуальный канал передачи данных

Отдельные виртуальные устройства обработки, хранения и передачи данных

Виртуальное средство ЗИ и средство ЗИ, предназначенное для использования в среде виртуализации

Резервное копирование защищаемой информации, хранимой на физических и виртуальных носителях информации

+

Резервное копирование файлов–образов машин, а также файлов–образов, используемых для обеспечения работы виртуальных файловых систем

+

+

Резервное копирование физического и (или) виртуального дискового пространства, используемого для хранения журналов событий гипервизора и (или) ВМ

+

+

Своевременное обнаружение отказов компонентов виртуальной инфраструктуры

+

+

Создание (имитация) ложных компонентов виртуальной инфраструктуры, предназначенных для обнаружения, регистрации и анализа действий нарушителей в процессе реализации угроз безопасности информации

+

+

+

+

+

Обнуление резервируемого под выделение виртуальных ресурсов хранения данных для нового пользователя (организации) адресного пространства, в котором хранилась информация ограниченного доступа других пользователей (организаций)

+

Стирание остаточной информации, образующейся после удаления данных, обрабатываемых в виртуальной инфраструктуре, содержащих информацию ограниченного доступа

+

Стирание остаточной информации, образующейся после удаления данных, содержащих информацию ограниченного доступа, в гипервизоре и (или) ВМ

+

+

Продолжение таблицы В.2

Мера защиты информации

Объект защиты

Средства создания и управления виртуальной инфраструктурой

Виртуальная вычислительная система

Виртуальная система хранения данных

Виртуальный канал передачи данных

Отдельные виртуальные устройства обработки, хранения и передачи данных

Виртуальное средство ЗИ и средство ЗИ, предназначенное для использования в среде виртуализации

Стирание остаточной информации, образующейся после удаления данных, содержащих информацию ограниченного доступа, в хостовой и (или) гостевых операционных системах

+

+

Стирание остаточной информации, образующейся после удаления файлов, содержащих настройки виртуального аппаратного обеспечения

+

+

Стирание остаточной информации, образующейся после удаления файлов–образов ВМ, в которых обрабатывалась информация ограниченного доступа

+

Управление доступом к аппаратному обеспечению ИС, контроль подключения (отключения) машинных носителей информации

+

+

Управление доступом к аппаратному обеспечению системы хранения данных, контроль подключения (отключения) машинных носителей информации к (от) виртуальной инфраструктуре(ы)

+

Управление запуском (обращениями) компонентов ПО, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов ПО

+

Управление установкой (инсталляцией) компонентов ПО, входящего в состав виртуальной инфраструктуры, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов ПО

+

Окончание таблицы В.2

Мера защиты информации

Объект защиты

Средства создания и управления виртуальной инфраструктурой

Виртуальная вычислительная система

Виртуальная система хранения данных

Виртуальный канал передачи данных

Отдельные виртуальные устройства обработки, хранения и передачи данных

Виртуальное средство ЗИ и средство ЗИ, предназначенное для использования в среде виртуализации

Установка (инсталляция) только разрешенного к использованию в виртуальной инфраструктуре ПО и (или) его компонентов

+

+

Фильтрация сетевого трафика между компонентами виртуальной инфраструктуры и внешними сетями хостовой операционной системы, в том числе сетями общего пользования

+

+

Фильтрация сетевого трафика от/к каждой гостевой операционной системы(е)

+

+

+

Шифрование данных, хранимых в виртуальной инфраструктуре и содержащих информацию ограниченного доступа

Шифрование информации ограниченного доступа, передаваемой по виртуальным и физическим каналам связи гипервизора

+

Шифрование информации ограниченного доступа, передаваемой по виртуальным и физическим каналам связи хостовой операционной системы

+

Шифрование файлов–образов ВМ, а также файлов–образов, используемых для обеспечения работы виртуальных файловых систем, содержащих информацию ограниченного доступа

+

+

Примечания

  1. Знак «+» обозначает, что мера защиты информации подлежит реализации для нейтрализации угроз безопасности конкретного объекта защиты.
  2. Меры защиты информации, не обозначенные знаком «+», допускается применять дополнительно.