Стандарт по защите персональных данных пользователей Yandex Cloud
Примечание
Функциональность находится на стадии Preview.
Данный набор правил помогает автоматизировать контроль соответствия требованиям законодательства по требованиям федерального закона от 27.07.2006 № 152-ФЗ в ресурсах Yandex Cloud.
Эти правила помогают защитить персональные данные в соответствии с Требованиями ФСТЭК (Приказ 21):
|
Идентификатор требования |
Требование стандарта безопасности |
Идентификаторы проверки в модуле CSPM |
|
Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) |
||
|
ИАФ.1 |
Идентификация и аутентификация пользователей, являющихся работниками оператора |
|
|
ИАФ.4 |
Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации |
cspm.crypto.secrets-lockbox |
|
Управление доступом субъектов доступа к объектам доступа (УПД) |
||
|
УПД.2 |
Реализация необходимых методов управления доступом (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа |
cspm.access.min-privileges |
|
УПД.3 |
Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами |
cspm.network.firewall |
|
УПД.4 |
Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы |
cspm.access.min-privileges |
|
УПД.5 |
Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы |
cspm.access.min-privileges |
|
УПД.6 |
Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) |
|
|
УПД.10 |
Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу |
|
|
УПД.11 |
Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации |
|
|
УПД.13 |
Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети |
|
|
УПД.17 |
Обеспечение доверенной загрузки средств вычислительной техники |
|
|
Ограничение программной среды (ОПС) |
||
|
ОПС.1 |
Управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспечения |
|
|
ОПС.2 |
Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения |
|
|
ОПС.3 |
Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов |
cspm.appsec.periodic-scan |
|
Регистрация событий безопасности (РСБ) |
||
|
РСБ.1 |
Определение событий безопасности, подлежащих регистрации, и сроков их хранения |
|
|
РСБ.2 |
Определение состава и содержания информации о событиях безопасности, подлежащих регистрации |
|
|
РСБ.3 |
Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения |
cspm.o11y.audit-trails |
|
РСБ.4 |
Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти |
|
|
РСБ.7 |
Защита информации о событиях безопасности |
cspm.s3.used-object-lock |
|
Антивирусная защита (АВЗ) |
||
|
АВЗ.1 |
Реализация антивирусной защиты |
|
|
АВЗ.2 |
Обновление базы данных признаков вредоносных компьютерных программ (вирусов) |
|
|
Обнаружение вторжений (СОВ) |
||
|
СОВ.1 |
Обнаружение вторжений |
|
|
СОВ.2 |
Обновление базы решающих правил |
|
|
Контроль (анализ) защищенности персональных данных (АНЗ) |
||
|
АНЗ.1 |
Выявление, анализ и устранение уязвимостей информационной системы |
cspm.active.ip-vulnerability-scan |
|
АНЗ.2 |
Контроль установки обновлений программного обеспечения, включая программное обеспечение средств защиты информации |
|
|
АНЗ.3 |
Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации |
|
|
АНЗ.4 |
Контроль состава технических средств, программного обеспечения и средств защиты информации |
|
|
АНЗ.5 |
Парольная политика |
|
|
Обеспечение целостности информационной системы и информации (ОЦЛ) |
||
|
ОЦЛ.1 |
Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации |
|
|
ОЦЛ.2 |
Контроль целостности информации, содержащейся в базах данных информационной системы |
cspm.crypto.data.application-encryption |
|
ОЦЛ.3 |
Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций |
cspm.compute.snapshot |
|
ОЦЛ.4 |
Обнаружение и реагирование на поступление в информационную систему незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к функционированию информационной системы (защита от спама) |
cspm.appsec.use-smartcaptcha |
|
ОЦЛ.6 |
Ограничение прав пользователей по вводу информации в информационную систему |
|
|
Обеспечение доступности персональных данных (ОДТ) |
||
|
ОДТ.4 |
Периодическое резервное копирование информации на резервные машинные носители информации |
|
|
ОДТ.5 |
Обеспечение возможности восстановления информации с резервных машинных носителей информации (резервных копий) в течение установленного временного интервала |
|
|
Защита технических средств (ЗТС) / Защита среды виртуализации (ЗСВ) |
||
|
ЗСВ.1 |
Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации |
|
|
ЗСВ.2 |
Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин |
|
|
ЗСВ.3 |
Регистрация событий безопасности в виртуальной инфраструктуре |
|
|
ЗСВ.4 |
Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры |
|
|
ЗСВ.5 |
Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера), серверов управления виртуализацией |
|
|
ЗСВ.6 |
Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных |
|
|
ЗСВ.7 |
Контроль целостности виртуальной инфраструктуры и ее конфигураций |
|
|
ЗСВ.8 |
Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры |
|
|
ЗСВ.9 |
Реализация антивирусной защиты в виртуальной инфраструктуре |
cspm.appsec.upload-policy |
|
ЗСВ.10 |
Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки информации отдельным пользователем и (или) группой пользователей |
|
|
Защита информационной системы, ее средств и систем связи и передачи данных (ЗИС) |
||
|
ЗИС.1 |
Разделение в информационной системе функций по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты информации, функций по обработке информации и иных функций информационной системы |
|
|
ЗИС.3 |
Обеспечение защиты информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны |
cspm.crypto.certificate-validity |
|
ЗИС.4 |
Обеспечение доверенных канала, маршрута между администратором, пользователем и средствами защиты информации (функциями безопасности средств защиты информации) |
|
|
ЗИС.11 |
Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов |
cspm.data.storage-https |
|
ЗИС.15 |
Защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки информации |
|
|
ЗИС.17 |
Разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы |
|
|
Выявление инцидентов и реагирование на них (ИНЦ) |
||
|
ИНЦ.2 |
Обнаружение, идентификация и регистрация инцидентов |
cspm.o11y.audit-trails |
|
ИНЦ.6 |
Планирование и принятие мер по предотвращению повторного возникновения инцидентов |
|
|
Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ) |
||
|
УКФ.1–УКФ.4 |
Управление конфигурацией информационной системы и системы защиты персональных данных |
|