Подходы к проектированию информационной системы и ее подсистемы защиты информации с использованием сертифицированной продукции компании VMware Inc.
Сертифицированная продукция компании VMware Inc. может использоваться для защиты информации, обрабатываемой:
- в государственных информационных системах (ГИС) 3 класса1;
- в информационных системах персональных данных (ИСПДн) 3 и 4 уровней защищённости2;
- на значимых объектах критической информационной инфраструктуры (ЗО КИИ) 3 категории3;
- в автоматизированных системах управления производственными и технологическими процессами (АСУТП)
3 класса4.
В случае оценочной классификации защищаемой системы по более высокому классу, в рамках работ по проектированию информационной системы и ее подсистемы защиты возможно применение одного из нижеперечисленных подходов, заключающихся:
1. В сегментации информационной системы и ее подсистемы защиты с предъявлением пониженных требований к части сегментов системы (построение иерархической структуры) и/или к системе в целом;
2. В применении компенсирующих мер защиты информации, обеспечивающих адекватное блокирование (нейтрализацию) угроз, потенциально возникающих вследствие отсутствия исследований исходных текстов сертифицированной продукции компании VMware, совместно с принятием угроз по кратковременному нарушению целостности и доступности информации, обрабатываемой в системе.
В качестве примера таких мер можно привести меры по контролю целостности, резервному копированию и восстановлению защищаемой информации при сбоях.
Примечания:
1«Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», утвержденные приказом ФСТЭК России от 11.02.2013 г. № 17 (в ред. Приказов ФСТЭК России от 15.02.2017 г. № 27, от 28.05.2019 г. № 106).
2 «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденные приказом ФСТЭК России от 18.02.2013 г. № 21 (в ред. Приказа ФСТЭК России от 23.03.2017 г. № 49).
3 «Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры российской федерации», утвержденные приказом ФСТЭК России от 25.12.2017 г. № 239.
4 «Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды», утвержденные приказом ФСТЭК России от 14.03.2014 г. № 31 (в ред. Приказов ФСТЭК России от 23.03.2017 г. № 49,
от 09.08.2018 г. № 138, от 15.03.2021 г. № 46).
Сертифицированная продукция компании VMware Inc. может использоваться для защиты информации, обрабатываемой:
- в государственных информационных системах (ГИС) 3 класса1;
- в информационных системах персональных данных (ИСПДн) 3 и 4 уровней защищённости2;
- на значимых объектах критической информационной инфраструктуры (ЗО КИИ) 3 категории3;
- в автоматизированных системах управления производственными и технологическими процессами (АСУТП)
3 класса4.
В случае оценочной классификации защищаемой системы по более высокому классу, в рамках работ по проектированию информационной системы и ее подсистемы защиты возможно применение одного из нижеперечисленных подходов, заключающихся:
1. В сегментации информационной системы и ее подсистемы защиты с предъявлением пониженных требований к части сегментов системы (построение иерархической структуры) и/или к системе в целом;
2. В применении компенсирующих мер защиты информации, обеспечивающих адекватное блокирование (нейтрализацию) угроз, потенциально возникающих вследствие отсутствия исследований исходных текстов сертифицированной продукции компании VMware, совместно с принятием угроз по кратковременному нарушению целостности и доступности информации, обрабатываемой в системе.
В качестве примера таких мер можно привести меры по контролю целостности, резервному копированию и восстановлению защищаемой информации при сбоях.
Примечания:
1«Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», утвержденные приказом ФСТЭК России от 11.02.2013 г. № 17 (в ред. Приказов ФСТЭК России от 15.02.2017 г. № 27, от 28.05.2019 г. № 106).
2 «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденные приказом ФСТЭК России от 18.02.2013 г. № 21 (в ред. Приказа ФСТЭК России от 23.03.2017 г. № 49).
3 «Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры российской федерации», утвержденные приказом ФСТЭК России от 25.12.2017 г. № 239.
4 «Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды», утвержденные приказом ФСТЭК России от 14.03.2014 г. № 31 (в ред. Приказов ФСТЭК России от 23.03.2017 г. № 49,
от 09.08.2018 г. № 138, от 15.03.2021 г. № 46).