Пункт 2.2 Приказа ОАЦ №66: как обеспечить контроль работоспособности, параметров настройки и правильности функционирования активов ИС и СЗИ

Смысл требования

Пункт 2.2 относится к числу базовых эксплуатационных требований к системе защиты информации. Его предметом является не просто факт наличия средств вычислительной техники, телекоммуникационного оборудования, системного программного обеспечения и средств защиты информации, а установленный владельцем информационной системы режим контроля за их работоспособностью, параметрами настройки и правильностью функционирования.

По существу требование направлено на предупреждение двух групп рисков. Первая связана с отказами, деградацией и скрытой неисправностью компонентов, от которых зависит работа ИС и средств защиты. Вторая связана с отклонением параметров настройки и фактического режима работы от утверждённой конфигурации. Если такой контроль не установлен, владелец ИС теряет способность своевременно выявлять нарушение защитного режима, даже при наличии формально внедрённых средств ТКЗИ.

Формулировка требования

Приложение 3 к Положению о порядке технической и криптографической защиты информации в информационных системах, раздел «Требования по обеспечению защиты информации», пункт 2.2: «обеспечение контроля за работоспособностью, параметрами настройки и правильностью функционирования средств вычислительной техники, телекоммуникационного оборудования, системного программного обеспечения и средств защиты информации».

Обязательность применения

По таблице приложения 3 требование пункта 2.2 является обязательным для всех классов типовых ИС: 4-ин, 4-спец, 4-бг, 4-юл, 4-дсп, 3-ин, 3-спец, 3-бг, 3-юл, 3-дсп. Исключений или рекомендательного режима применения для него не предусмотрено.

Существенно, что норма сформулирована через «обеспечение контроля». Следовательно, для её исполнения недостаточно только разово проверить настройки при вводе системы в эксплуатацию, как недостаточно и простого наличия эксплуатационного персонала. Контроль должен быть организован как постоянный и воспроизводимый процесс, охватывающий работоспособность, параметры настройки и корректность функционирования соответствующих компонентов.

Что именно следует понимать под исполнением требования

Пункт 2.2 не следует смешивать с требованиями раздела «Аудит безопасности». Пункты 1.1–1.5 касаются событий ИБ и информации о функционировании, их регистрации, хранения и мониторинга. Пункт 2.2 имеет иной предмет: он требует, чтобы владелец ИС контролировал техническое и эксплуатационное состояние критичных компонентов и их соответствие установленной конфигурации.

В прикладной плоскости речь обычно идёт о следующих вопросах: доступны ли устройства и сервисы; работают ли системные и защитные компоненты без отказов; не изменены ли без разрешения критичные параметры настройки; не отключены ли функции защиты; соответствует ли фактический режим работы установленной архитектуре и эксплуатационной документации; не произошло ли неконтролируемое изменение конфигурации, способное повлиять на защищённость ИС.

Иначе говоря, требование охватывает как контроль доступности и исправности, так и контроль корректности настройки и работы. В этом состоит его практическая ценность: оно направлено не только на выявление аварий, но и на обнаружение таких изменений состояния системы, которые ещё не привели к отказу, но уже нарушили защитный режим.

Что проверяет аудитор или ОАЦ

При проверке исполнения пункта 2.2 анализируется не одна техническая настройка и не разовый отчёт о состоянии оборудования. Проверяющего интересует, установил ли владелец ИС полный режим контроля за соответствующими активами и способен ли подтвердить фактическое исполнение этого режима.

закреплён ли порядок контроля в ТЗ, ЛПА, эксплуатационных регламентах, инструкциях администраторов или иных ОРД;
определён ли перечень контролируемых объектов: средства вычислительной техники, телекоммуникационное оборудование, системное программное обеспечение, средства защиты информации;
установлены ли контролируемые параметры и признаки правильного функционирования;
определены ли ответственные лица, периодичность контроля и порядок фиксации результатов;
можно ли показать фактические материалы контроля: журналы, отчёты, уведомления, акты проверки, карточки отклонений, результаты сравнения конфигураций;
реализованы ли действия при выявлении неисправности, отклонения параметров настройки или нарушения корректного функционирования.

Если владелец ИС ссылается только на “наблюдение администратора” без установленного порядка, критериев контроля и материалов фиксации, требование обычно выглядит реализованным формально. Если же используются технические средства, но их применение не встроено в локальный порядок эксплуатации, ситуация оценивается аналогично.

Варианты реализации

Организационный вариант.

Владелец ИС утверждает регламент контроля работоспособности и параметров настройки, в котором определяет перечень объектов контроля, контрольные параметры, ответственных лиц, периодичность, формы фиксации и порядок реагирования на отклонения. Такой вариант обязателен как нормативная основа и может быть достаточным только в очень небольшой и простой среде, где объём активов ограничен и контроль реально осуществим вручную.

Организационно-технический вариант.

На практике это основной рабочий подход. Порядок контроля закрепляется в локальных актах и ОРД, а технические средства используются для автоматизации наблюдения за состоянием устройств, сервисов, конфигураций и параметров. В таком режиме владелец ИС получает и документально установленный порядок, и инструментальную основу для его исполнения.

Комбинированный вариант с разделением контуров контроля.

Для более зрелых ИС целесообразно разделять контроль по классам объектов. Для вычислительных средств и системного ПО может действовать один режим наблюдения, для сетевого оборудования — другой, для средств защиты — третий. Такой подход оправдан там, где архитектура сложна, используются разные платформы и требуется различная глубина контроля. Он сложнее в сопровождении, но обеспечивает лучшую точность и воспроизводимость исполнения требования.

Что целесообразно закрепить в ЛПА и ОРД

Для пункта 2.2 первостепенное значение имеют именно документы владельца ИС. На практике в них следует закреплять не общую обязанность “контролировать работоспособность”, а конкретный порядок контроля.

перечень объектов контроля по категориям: СВТ, телеком-оборудование, системное ПО, СЗИ;
контролируемые параметры и признаки корректного функционирования;
допустимые и недопустимые отклонения;
ответственных лиц и распределение ролей;
периодичность контроля и порядок внеочередной проверки;
формы фиксации результатов контроля;
порядок реагирования на выявленные отклонения, неисправности и несоответствия настройки;
порядок актуализации контрольных параметров при изменении архитектуры ИС или состава СЗИ.

Такой уровень детализации обычно позволяет показать, что контроль существует как установленный и исполняемый режим, а не как разовые действия администраторов по мере необходимости.

Возможность технической реализации и инструменты

Технические средства в рамках пункта 2.2 применяются как инструмент исполнения установленного порядка контроля. Они не заменяют регламент, но позволяют обеспечить наблюдение за состоянием и параметрами конфигурации в требуемом объёме.

Zabbix. Подходит для контроля доступности серверов, сервисов, сетевых устройств, базовых метрик, состояния интерфейсов и части параметров функционирования СЗИ. Хорош как практическая база для централизованного контроля.
PRTG Network Monitor. Уместен для наблюдения за телекоммуникационным оборудованием, каналами связи, доступностью узлов и эксплуатационными параметрами в смешанной инфраструктуре.
LibreNMS. Рационален прежде всего для сетевого контура, где требуется контроль интерфейсов, маршрутизаторов, коммутаторов и общего состояния сетевой инфраструктуры.
Prometheus + Grafana. Эффективны для контроля временных рядов, параметров сервисов, контейнерных сред, серверных компонентов и прикладных платформ.
Средства управления конфигурацией и контроля изменений. Ansible, Puppet, SaltStack, встроенные механизмы контроля конфигурации или специализированные средства сравнения настроек применимы там, где важен не только контроль доступности, но и сопоставление фактических параметров с эталонной конфигурацией.
Штатные консоли производителей СЗИ и оборудования. Для межсетевых экранов, VPN-шлюзов, систем обнаружения атак и иных средств защиты могут использоваться встроенные механизмы контроля состояния и параметров, если они дают воспроизводимый результат и встроены в установленный владельцем порядок эксплуатации.

Выбор конкретного инструмента должен зависеть от состава активов, глубины требуемого контроля и возможности хранить и предъявлять результаты проверок. С правовой точки зрения значим не продукт как таковой, а способность владельца ИС доказать, что контроль работоспособности, параметров настройки и корректности функционирования реально осуществляется.

Типичные ошибки при реализации

контроль сводится только к доступности узлов, без наблюдения за параметрами настройки и правильностью функционирования;
технические средства контроля внедрены, но порядок их применения не закреплён в ЛПА и ОРД;
проверяются серверы и рабочие станции, но телекоммуникационное оборудование, системное ПО или СЗИ выпадают из контура контроля;
отсутствует фиксация результатов проверки и реагирования на отклонения;
не установлены допустимые параметры и признаки отклонений, вследствие чего контроль носит произвольный характер;
эталонные настройки не определены, поэтому невозможно доказать факт некорректного изменения конфигурации;
контроль осуществляется эпизодически и не носит воспроизводимого характера.

Пункт 2.2 не должен пониматься как техническая рекомендация “поставить мониторинг”. Его предмет — установленный владельцем ИС режим контроля за тем, как реально работают и как настроены вычислительные средства, сетевой контур, системное программное обеспечение и средства защиты информации. Поэтому исходной точкой исполнения всегда выступают ЛПА и ОРД, а технические средства являются способом обеспечить и подтвердить этот режим.

Для небольшой ИС может быть достаточен более простой организационно-технический вариант. Для сложной инфраструктуры предпочтителен комбинированный подход с разделением объектов контроля и использованием специализированных средств наблюдения и проверки конфигурации. По существу требование исполнено тогда, когда владелец ИС способен показать не разовую проверку, а постоянный, документально установленный и фактически работающий порядок контроля за работоспособностью, параметрами настройки и корректностью функционирования соответствующих компонентов.

Пункт 2.2 Приказа ОАЦ №66: как обеспечить контроль работоспособности, параметров настройки и правильности функционирования активов ИС и СЗИ

Смысл требования

Формулировка требования

Обязательность применения

Что именно следует понимать под исполнением требования

Что проверяет аудитор или ОАЦ

Варианты реализации

Что целесообразно закрепить в ЛПА и ОРД

Возможность технической реализации и инструменты

Типичные ошибки при реализации

Пункт 1.2 Приказа ОАЦ №66: как обеспечить сбор и хранение событий ИБ не менее одного года

Пункт 2.1 Приказа ОАЦ №66: как регламентировать использование съёмных носителей, мобильных технических средств и контроль за таким использованием

Удалённый доступ в ИС: как организовать

Что такое система защиты информации на практике: не документы, а реальные меры

Пункт 2.3 Приказа ОАЦ №66: как защитить резервные копии, настройки и события безопасности от несанкционированного доступа

Акт отнесения ИС к классу: как заполнять без формальности и на что смотреть до подписания

Смысл требования

Формулировка требования

Обязательность применения

Что именно следует понимать под исполнением требования

Что проверяет аудитор или ОАЦ

Варианты реализации

Что целесообразно закрепить в ЛПА и ОРД

Возможность технической реализации и инструменты

Типичные ошибки при реализации

Похожие записи