Из ГОСТ Р 56938-2016 Защита информации. Защита информации при использовании технологий виртуализации. Общие положения

(В.1) ГОСТ Р 56938-2016

Таблица В.1

Угроза безопасности информации

Объект защиты

Средства создания и управления виртуальной инфраструктурой

Виртуальная вычислительная система

Виртуальная система хранения данных

Виртуальный канал передачи данных

Отдельные виртуальные устройства обработки, хранения и передачи данных

Виртуальное средство ЗИ и средство ЗИ, предназначенное для использования в среде виртуализации

Угрозы атаки на активное и (или) пассивное виртуальное и (или) физическое сетевое оборудование из физической и (или) виртуальной сети

+

+

+

Угрозы атаки на виртуальные каналы передачи

+

Угрозы атаки на гипервизор из ВМ и (или) физической сети

+

Угрозы атаки на защищаемые виртуальные устройства из виртуальной и (или) физической сети

+

+

Угрозы атаки на защищаемые ВМ из виртуальной и (или) физической сети

+

+

Угрозы атаки на защищаемые ВМ со стороны других ВМ

+

+

Угрозы атаки на систему хранения данных из виртуальной и (или) физической сети

+

Угроза выхода процесса за пределы ВМ

+

+

Угроза НСД к данным за пределами зарезервированного адресного пространства, в том числе выделенного под виртуальное аппаратное обеспечение

+

+

Угроза нарушения изоляции пользовательских данных внутри ВМ

+

Угроза нарушения процедуры аутентификации субъектов виртуального информационного взаимодействия

+

+

+

+

Угроза перехвата управления гипервизором

+

Угроза перехвата управления средой виртуализации

+

+

Угроза неконтролируемого роста числа ВМ

+

Угроза неконтролируемого роста числа зарезервированных вычислительных ресурсов

+

Угроза нарушения технологии обработки информации путем несанкционированного внесения изменений в образы ВМ

+

+

Угроза НСД к хранимой в виртуальном пространстве информации ограниченного доступа

+

Угроза ошибки обновления гипервизора

+

В подразделах 6.1–6.6 настоящего стандарта определены номенклатуры мер защиты информации, реализация которых необходима для нейтрализации угроз, приведенных в таблице В.1. Обобщенная схема зависимости подлежащих к применению мер защиты информации от используемых объектов защиты приведена в таблице В.2.

    (В.10) ГОСТ Р 56938-2016

    Продолжение таблицы В.2

    Мера защиты информации

    Объект защиты

    Средства создания и управления виртуальной инфраструктурой

    Виртуальная вычислительная система

    Виртуальная система хранения данных

    Виртуальный канал передачи данных

    Отдельные виртуальные устройства обработки, хранения и передачи данных

    Виртуальное средство ЗИ и средство ЗИ, предназначенное для использования в среде виртуализации

    Резервное копирование защищаемой информации, хранимой на физических и виртуальных носителях информации

    +

    Резервное копирование файлов–образов машин, а также файлов–образов, используемых для обеспечения работы виртуальных файловых систем

    +

    +

    Резервное копирование физического и (или) виртуального дискового пространства, используемого для хранения журналов событий гипервизора и (или) ВМ

    +

    +

    Своевременное обнаружение отказов компонентов виртуальной инфраструктуры

    +

    +

    Создание (имитация) ложных компонентов виртуальной инфраструктуры, предназначенных для обнаружения, регистрации и анализа действий нарушителей в процессе реализации угроз безопасности информации

    +

    +

    +

    +

    +

    Обнуление резервируемого под выделение виртуальных ресурсов хранения данных для нового пользователя (организации) адресного пространства, в котором хранилась информация ограниченного доступа других пользователей (организаций)

    +

    Стирание остаточной информации, образующейся после удаления данных, обрабатываемых в виртуальной инфраструктуре, содержащих информацию ограниченного доступа

    +

    Стирание остаточной информации, образующейся после удаления данных, содержащих информацию ограниченного доступа, в гипервизоре и (или) ВМ

    +

    +

      (В.11) ГОСТ Р 56938-2016

      Продолжение таблицы В.2

      Мера защиты информации

      Объект защиты

      Средства создания и управления виртуальной инфраструктурой

      Виртуальная вычислительная система

      Виртуальная система хранения данных

      Виртуальный канал передачи данных

      Отдельные виртуальные устройства обработки, хранения и передачи данных

      Виртуальное средство ЗИ и средство ЗИ, предназначенное для использования в среде виртуализации

      Стирание остаточной информации, образующейся после удаления данных, содержащих информацию ограниченного доступа, в хостовой и (или) гостевых операционных системах

      +

      +

      Стирание остаточной информации, образующейся после удаления файлов, содержащих настройки виртуального аппаратного обеспечения

      +

      +

      Стирание остаточной информации, образующейся после удаления файлов–образов ВМ, в которых обрабатывалась информация ограниченного доступа

      +

      Управление доступом к аппаратному обеспечению ИС, контроль подключения (отключения) машинных носителей информации

      +

      +

      Управление доступом к аппаратному обеспечению системы хранения данных, контроль подключения (отключения) машинных носителей информации к (от) виртуальной инфраструктуре(ы)

      +

      Управление запуском (обращениями) компонентов ПО, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов ПО

      +

      Управление установкой (инсталляцией) компонентов ПО, входящего в состав виртуальной инфраструктуры, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов ПО

      +

        (В.12) ГОСТ Р 56938-2016

        Окончание таблицы В.2

        Мера защиты информации

        Объект защиты

        Средства создания и управления виртуальной инфраструктурой

        Виртуальная вычислительная система

        Виртуальная система хранения данных

        Виртуальный канал передачи данных

        Отдельные виртуальные устройства обработки, хранения и передачи данных

        Виртуальное средство ЗИ и средство ЗИ, предназначенное для использования в среде виртуализации

        Установка (инсталляция) только разрешенного к использованию в виртуальной инфраструктуре ПО и (или) его компонентов

        +

        +

        Фильтрация сетевого трафика между компонентами виртуальной инфраструктуры и внешними сетями хостовой операционной системы, в том числе сетями общего пользования

        +

        +

        Фильтрация сетевого трафика от/к каждой гостевой операционной системы(е)

        +

        +

        +

        Шифрование данных, хранимых в виртуальной инфраструктуре и содержащих информацию ограниченного доступа

        Шифрование информации ограниченного доступа, передаваемой по виртуальным и физическим каналам связи гипервизора

        +

        Шифрование информации ограниченного доступа, передаваемой по виртуальным и физическим каналам связи хостовой операционной системы

        +

        Шифрование файлов–образов ВМ, а также файлов–образов, используемых для обеспечения работы виртуальных файловых систем, содержащих информацию ограниченного доступа

        +

        +

        Примечания

        1. Знак «+» обозначает, что мера защиты информации подлежит реализации для нейтрализации угроз безопасности конкретного объекта защиты.
        2. Меры защиты информации, не обозначенные знаком «+», допускается применять дополнительно.

          (В.2) ГОСТ Р 56938-2016

          Таблица В.2

          Мера защиты информации

          Объект защиты

          Средства создания и управления виртуальной инфраструктурой

          Виртуальная вычислительная система

          Виртуальная система хранения данных

          Виртуальный канал передачи данных

          Отдельные виртуальные устройства обработки, хранения и передачи данных

          Виртуальное средство ЗИ и средство ЗИ, предназначенное для использования в среде виртуализации

          Автоматическое восстановление всех функций средств ЗИ, входящих в состав ИС

          +

          Автоматическое восстановление работоспособности системы хранения данных, подключенной к виртуальной инфраструктуре, в случае отказа одного или нескольких ее компонентов

          +

          Автоматическое изменение маршрутов передачи сетевых пакетов между компонентами виртуальной инфраструктуры внутри гипервизора

          +

          +

          Блокировка доступа к объектам виртуальной инфраструктуры для субъектов доступа, не прошедших процедуру аутентификации

          +

          +

          +

          +

          +

          Выявление, анализ и блокирование внутри виртуальной инфраструктуры скрытых каналов передачи информации в обход реализованных мер ЗИ или внутри разрешенных сетевых протоколов

          +

          +

          Защита от НСД к вводимой субъектами доступа, входящими в состав виртуальной инфраструктуры, аутентификационной информации

          +

          +

          +

          +

          +

          +

          Защита от НСД к хранящейся в компонентах виртуальной инфраструктуры аутентификационной информации о субъектах доступа

          +

          +

          +

          +

          +

          +

          Идентификация и аутентификация субъектов доступа при их локальном или удаленном обращении к объектам виртуальной инфраструктуры

          +

          +

          +

          +

          +

          +

          Идентификация и аутентификация субъектов доступа при осуществлении ими попыток доступа к консолям управления параметрами аппаратного обеспечения

          +

            (В.3) ГОСТ Р 56938-2016

            Продолжение таблицы В.2

            Мера защиты информации

            Объект защиты

            Средства создания и управления виртуальной инфраструктурой

            Виртуальная вычислительная система

            Виртуальная система хранения данных

            Виртуальный канал передачи данных

            Отдельные виртуальные устройства обработки, хранения и передачи данных

            Виртуальное средство ЗИ и средство ЗИ, предназначенное для использования в среде виртуализации

            Контроль ввода (вывода) информации в (из) виртуальной инфраструктуре(ы)

            +

            Контроль ввода (вывода) информации в (из) ИС

            +

            Контроль ввода (вывода) информации в (из) систему(ы) хранения данных, входящей в состав виртуальной инфраструктуры

            +

            Контроль доступа субъектов доступа к изолированному адресному пространству в памяти гипервизора

            +

            +

            Контроль доступа субъектов доступа к изолированному адресному пространству в памяти хостовой операционной системы

            +

            +

            Контроль доступа субъектов доступа к средствам конфигурирования виртуального аппаратного обеспечения

            +

            +

            Контроль доступа субъектов доступа к средствам конфигурирования гипервизора и ВМ

            +

            +

            Контроль доступа субъектов доступа к средствам конфигурирования системы хранения данных, входящей в состав виртуальной инфраструктуры

            +

            Контроль доступа субъектов доступа к средствам конфигурирования хостовой и (или) гостевых операционных систем

            +

            +

            Контроль доступа субъектов доступа к файлам–образам ВМ, а также файлам–образам, используемым для обеспечения работы виртуальных файловых систем

            +

            +

            +

            Контроль запуска гипервизора и ВМ на основе заданных критериев обеспечения безопасности информации (режима запуска, типа используемого носителя и т. д.)

            +

            +

              (В.4) ГОСТ Р 56938-2016

              Продолжение таблицы В.2

              Мера защиты информации

              Объект защиты

              Средства создания и управления виртуальной инфраструктурой

              Виртуальная вычислительная система

              Виртуальная система хранения данных

              Виртуальный канал передачи данных

              Отдельные виртуальные устройства обработки, хранения и передачи данных

              Виртуальное средство ЗИ и средство ЗИ, предназначенное для использования в среде виртуализации

              Контроль запуска хостовой и (или) гостевых операционных систем на основе заданных критериев обеспечения безопасности информации (режима запуска, типа используемого носителя и т. д.)

              +

              +

              Контроль передачи служебных информационных сообщений, передаваемых в виртуальных сетях хостовой операционной системы, по следующим характеристикам: составу, объему и др.

              +

              +

              Контроль работоспособности (изношенности) машинных носителей информации, подключенных к виртуальной инфраструктуре, переход на дублирующие при необходимости

              +

              Контроль работоспособности дублирующих ключевых компонентов аппаратного обеспечения ИС

              +

              Контроль работоспособности дублирующих ключевых компонентов виртуальной инфраструктуры

              +

              +

              Контроль целостности данных, хранимых на машинных носителях информации, подключенных к виртуальной инфраструктуре

              +

              Контроль целостности компонентов, критически важных для функционирования гипервизора и ВМ

              +

              +

              Контроль целостности компонентов, критически важных для функционирования хостовой и гостевых операционных систем

              +

              +

              Контроль целостности микропрограммного обеспечения аппаратной части ИС

              +

              Контроль целостности файлов, содержащих настройки ВМ

              +

              +

                (В.5) ГОСТ Р 56938-2016

                Продолжение таблицы В.2

                Мера защиты информации

                Объект защиты

                Средства создания и управления виртуальной инфраструктурой

                Виртуальная вычисли тельная система

                Виртуальная система хранения данных

                Виртуальный канал передачи данных

                Отдельные виртуальные устройства обработки, хранения и передачи данных

                Виртуальное средство ЗИ и средство ЗИ, предназначенное для использования в среде виртуализации

                Контроль целостности файлов–образов ВМ, а также файлов–образов, используемых для обеспечения работы виртуальных файловых систем

                +

                +

                Мониторинг загрузки мощностей физического и виртуального аппаратного обеспечения

                +

                +

                +

                Обеспечение возможности наследования установленных на уровне управления прав доступа субъектов доступа к объектам доступа на уровни виртуализации и оборудования

                +

                +

                +

                Обеспечение доверенных (защищенных) канала, маршрута передачи данных в (из) систему(ы) хранения данных, входящую в состав виртуальной инфраструктуры

                +

                Обеспечение доверенных канала, маршрута внутри виртуальной инфраструктуры между администратором, пользователем и средствами ЗИ (функциями безопасности средств ЗИ)

                +

                Обеспечение изоляции различных потоков данных, передаваемых и обрабатываемых компонентами виртуальной инфраструктуры хостовой операционной системы

                +

                +

                Обеспечение подлинности сетевых соединений (сеансов взаимодействия) внутри виртуальной инфраструктуры, в том числе для защиты от подмены сетевых устройств и сервисов

                +

                +

                +

                +

                Отключение неиспользуемых сетевых протоколов компонентами виртуальной инфраструктуры хостовой операционной системы

                +

                +

                +

                  (В.6) ГОСТ Р 56938-2016

                  Продолжение таблицы В.2

                  Мера защиты информации

                  Объект защиты

                  Средства создания и управления виртуальной инфраструктурой

                  Виртуальная вычислительная система

                  Виртуальная система хранения данных

                  Виртуальный канал передачи данных

                  Отдельные виртуальные устройства обработки, хранения и передачи данных

                  Виртуальное средство ЗИ и средство ЗИ, предназначенное для использования в среде виртуализации

                  Передача и контроль целостности атрибутов безопасности (меток безопасности), связанных с информацией ограниченного доступа, обрабатываемой в виртуальной инфраструктуре, при обмене информацией с иными ИС

                  +

                  Предотвращение задержки или прерывания выполнения в виртуальной инфраструктуре процессов с высоким приоритетом со стороны процессов с низким приоритетом

                  +

                  Предотвращение задержки или прерывания выполнения процессов ВМ с высоким приоритетом со стороны процессов ВМ с низким приоритетом

                  +

                  +

                  Применение индивидуальных прав доступа к объектам доступа субъектов доступа для одного или совокупности компонентов виртуальной инфраструктуры

                  +

                  +

                  Проверка наличия вредоносных программ в загрузочных областях машинных носителей информации, подключенных к ИС

                  +

                  Проверка наличия вредоносных программ в микропрограммном обеспечении физического и виртуального аппаратного обеспечения

                  +

                  +

                  +

                  Проверка наличия вредоносных программ в операционной среде гипервизора системы хранения данных

                  +

                  Проверка наличия вредоносных программ в файлах конфигурации гипервизора и (или) ВМ

                  +

                  +

                  Проверка наличия вредоносных программ в файлах конфигурации хостовой и гостевых операционных системах

                  +

                  +

                    (В.7) ГОСТ Р 56938-2016

                    Продолжение таблицы В.2

                    Мера защиты информации

                    Объект защиты

                    Средства создания и управления виртуальной инфраструктурой

                    Виртуальная вычислительная система

                    Виртуальная система хранения данных

                    Виртуальный канал передачи данных

                    Отдельные виртуальные устройства обработки, хранения и передачи данных

                    Виртуальное средство ЗИ и средство ЗИ, предназначенное для использования в среде виртуализации

                    Проверка наличия вредоносных программ в файлах–образах ВМ, а также файлах– образах, используемых для обеспечения работы виртуальных файловых систем

                    +

                    +

                    +

                    Проверка оперативной памяти и файловой системы гипервизора и (или) ВМ на наличие вредоносных программ

                    +

                    +

                    Проверка оперативной памяти и файловой системы хостовой и (или) гостевых операционных систем на наличие вредоносных программ

                    +

                    +

                    Разделение данных в зависимости от уровня конфиденциальности обрабатываемой информации между компонентами системы хранения данных, отдельными машинными носителями информации, входящим в состав виртуальной, логическими дисками или между папками файлов

                    +

                    Разделение физических ресурсов между компонентами виртуальной инфраструктуры в зависимости от уровня конфиденциальности обрабатываемой информации

                    +

                    Размещение сенсоров и (или) датчиков систем обнаружения (предотвращения) вторжений в виртуальном аппаратном обеспечении

                    +

                    +

                    +

                    Размещение сенсоров и (или) датчиков систем обнаружения (предотвращения) вторжений в гипервизоре и (или) ВМ

                    +

                    +

                    Размещение сенсоров и (или) датчиков систем обнаружения (предотвращения) вторжений в хостовой и (или) гостевых операционных системах

                    +

                    +

                    Размещение системы хранения данных в защищенном сегменте ИС

                    +

                      Страницы

                      Подписка на Из ГОСТ Р 56938-2016 Защита информации. Защита информации при использовании технологий виртуализации. Общие положения