Из ГОСТ Р 56938–2016 Защита информации. Защита информации при использовании технологий виртуализации. Общие положения

Угроза безопасности информации

Объект защиты

Средства создания и управления виртуальной инфраструктурой

Виртуальная вычислительная система

Виртуальная система хранения данных

Виртуальный канал передачи данных

Отдельные виртуальные устройства обработки, хранения и передачи данных

Виртуальное средство ЗИ и средство ЗИ, предназначенное для использования в среде виртуализации

Угрозы атаки на активное и (или) пассивное виртуальное и (или) физическое сетевое оборудование из физической и (или) виртуальной сети

+

+

+

Угрозы атаки на виртуальные каналы передачи

+

Угрозы атаки на гипервизор из ВМ и (или) физической сети

+

Угрозы атаки на защищаемые виртуальные устройства из виртуальной и (или) физической сети

+

+

Угрозы атаки на защищаемые ВМ из виртуальной и (или) физической сети

+

+

Угрозы атаки на защищаемые ВМ со стороны других ВМ

+

+

Угрозы атаки на систему хранения данных из виртуальной и (или) физической сети

+

Угроза выхода процесса за пределы ВМ

+

+

Угроза НСД к данным за пределами зарезервированного адресного пространства, в том числе выделенного под виртуальное аппаратное обеспечение

+

+

Угроза нарушения изоляции пользовательских данных внутри ВМ

+

Угроза нарушения процедуры аутентификации субъектов виртуального информационного взаимодействия

+

+

+

+

Угроза перехвата управления гипервизором

+

Угроза перехвата управления средой виртуализации

+

+

Угроза неконтролируемого роста числа ВМ

+

Угроза неконтролируемого роста числа зарезервированных вычислительных ресурсов

+

Угроза нарушения технологии обработки информации путем несанкционированного внесения изменений в образы ВМ

+

+

Угроза НСД к хранимой в виртуальном пространстве информации ограниченного доступа

+

Угроза ошибки обновления гипервизора

+

Мера защиты информации

Объект защиты

Средства создания и управления виртуальной инфраструктурой

Виртуальная вычислительная система

Виртуальная система хранения данных

Виртуальный канал передачи данных

Отдельные виртуальные устройства обработки, хранения и передачи данных

Виртуальное средство ЗИ и средство ЗИ, предназначенное для использования в среде виртуализации

Резервное копирование защищаемой информации, хранимой на физических и виртуальных носителях информации

+

Резервное копирование файлов–образов машин, а также файлов–образов, используемых для обеспечения работы виртуальных файловых систем

+

+

Резервное копирование физического и (или) виртуального дискового пространства, используемого для хранения журналов событий гипервизора и (или) ВМ

+

+

Своевременное обнаружение отказов компонентов виртуальной инфраструктуры

+

+

Создание (имитация) ложных компонентов виртуальной инфраструктуры, предназначенных для обнаружения, регистрации и анализа действий нарушителей в процессе реализации угроз безопасности информации

+

+

+

+

+

Обнуление резервируемого под выделение виртуальных ресурсов хранения данных для нового пользователя (организации) адресного пространства, в котором хранилась информация ограниченного доступа других пользователей (организаций)

+

Стирание остаточной информации, образующейся после удаления данных, обрабатываемых в виртуальной инфраструктуре, содержащих информацию ограниченного доступа

+

Стирание остаточной информации, образующейся после удаления данных, содержащих информацию ограниченного доступа, в гипервизоре и (или) ВМ

+

+

Мера защиты информации

Объект защиты

Средства создания и управления виртуальной инфраструктурой

Виртуальная вычислительная система

Виртуальная система хранения данных

Виртуальный канал передачи данных

Отдельные виртуальные устройства обработки, хранения и передачи данных

Виртуальное средство ЗИ и средство ЗИ, предназначенное для использования в среде виртуализации

Стирание остаточной информации, образующейся после удаления данных, содержащих информацию ограниченного доступа, в хостовой и (или) гостевых операционных системах

+

+

Стирание остаточной информации, образующейся после удаления файлов, содержащих настройки виртуального аппаратного обеспечения

+

+

Стирание остаточной информации, образующейся после удаления файлов–образов ВМ, в которых обрабатывалась информация ограниченного доступа

+

Управление доступом к аппаратному обеспечению ИС, контроль подключения (отключения) машинных носителей информации

+

+

Управление доступом к аппаратному обеспечению системы хранения данных, контроль подключения (отключения) машинных носителей информации к (от) виртуальной инфраструктуре(ы)

+

Управление запуском (обращениями) компонентов ПО, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов ПО

+

Управление установкой (инсталляцией) компонентов ПО, входящего в состав виртуальной инфраструктуры, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов ПО

+

Мера защиты информации

Объект защиты

Средства создания и управления виртуальной инфраструктурой

Виртуальная вычислительная система

Виртуальная система хранения данных

Виртуальный канал передачи данных

Отдельные виртуальные устройства обработки, хранения и передачи данных

Виртуальное средство ЗИ и средство ЗИ, предназначенное для использования в среде виртуализации

Установка (инсталляция) только разрешенного к использованию в виртуальной инфраструктуре ПО и (или) его компонентов

+

+

Фильтрация сетевого трафика между компонентами виртуальной инфраструктуры и внешними сетями хостовой операционной системы, в том числе сетями общего пользования

+

+

Фильтрация сетевого трафика от/к каждой гостевой операционной системы(е)

+

+

+

Шифрование данных, хранимых в виртуальной инфраструктуре и содержащих информацию ограниченного доступа

Шифрование информации ограниченного доступа, передаваемой по виртуальным и физическим каналам связи гипервизора

+

Шифрование информации ограниченного доступа, передаваемой по виртуальным и физическим каналам связи хостовой операционной системы

+

Шифрование файлов–образов ВМ, а также файлов–образов, используемых для обеспечения работы виртуальных файловых систем, содержащих информацию ограниченного доступа

+

+

Примечания

1. Знак «+» обозначает, что мера защиты информации подлежит реализации для нейтрализации угроз безопасности конкретного объекта защиты.
2. Меры защиты информации, не обозначенные знаком «+», допускается применять дополнительно.

Мера защиты информации

Объект защиты

Средства создания и управления виртуальной инфраструктурой

Виртуальная вычислительная система

Виртуальная система хранения данных

Виртуальный канал передачи данных

Отдельные виртуальные устройства обработки, хранения и передачи данных

Виртуальное средство ЗИ и средство ЗИ, предназначенное для использования в среде виртуализации

Автоматическое восстановление всех функций средств ЗИ, входящих в состав ИС

+

Автоматическое восстановление работоспособности системы хранения данных, подключенной к виртуальной инфраструктуре, в случае отказа одного или нескольких ее компонентов

+

Автоматическое изменение маршрутов передачи сетевых пакетов между компонентами виртуальной инфраструктуры внутри гипервизора

+

+

Блокировка доступа к объектам виртуальной инфраструктуры для субъектов доступа, не прошедших процедуру аутентификации

+

+

+

+

+

Выявление, анализ и блокирование внутри виртуальной инфраструктуры скрытых каналов передачи информации в обход реализованных мер ЗИ или внутри разрешенных сетевых протоколов

+

+

Защита от НСД к вводимой субъектами доступа, входящими в состав виртуальной инфраструктуры, аутентификационной информации

+

+

+

+

+

+

Защита от НСД к хранящейся в компонентах виртуальной инфраструктуры аутентификационной информации о субъектах доступа

+

+

+

+

+

+

Идентификация и аутентификация субъектов доступа при их локальном или удаленном обращении к объектам виртуальной инфраструктуры

+

+

+

+

+

+

Идентификация и аутентификация субъектов доступа при осуществлении ими попыток доступа к консолям управления параметрами аппаратного обеспечения

+

Мера защиты информации

Объект защиты

Средства создания и управления виртуальной инфраструктурой

Виртуальная вычислительная система

Виртуальная система хранения данных

Виртуальный канал передачи данных

Отдельные виртуальные устройства обработки, хранения и передачи данных

Виртуальное средство ЗИ и средство ЗИ, предназначенное для использования в среде виртуализации

Контроль ввода (вывода) информации в (из) виртуальной инфраструктуре(ы)

+

Контроль ввода (вывода) информации в (из) ИС

+

Контроль ввода (вывода) информации в (из) систему(ы) хранения данных, входящей в состав виртуальной инфраструктуры

+

Контроль доступа субъектов доступа к изолированному адресному пространству в памяти гипервизора

+

+

Контроль доступа субъектов доступа к изолированному адресному пространству в памяти хостовой операционной системы

+

+

Контроль доступа субъектов доступа к средствам конфигурирования виртуального аппаратного обеспечения

+

+

Контроль доступа субъектов доступа к средствам конфигурирования гипервизора и ВМ

+

+

Контроль доступа субъектов доступа к средствам конфигурирования системы хранения данных, входящей в состав виртуальной инфраструктуры

+

Контроль доступа субъектов доступа к средствам конфигурирования хостовой и (или) гостевых операционных систем

+

+

Контроль доступа субъектов доступа к файлам–образам ВМ, а также файлам–образам, используемым для обеспечения работы виртуальных файловых систем

+

+

+

Контроль запуска гипервизора и ВМ на основе заданных критериев обеспечения безопасности информации (режима запуска, типа используемого носителя и т. д.)

+

+

Мера защиты информации

Объект защиты

Средства создания и управления виртуальной инфраструктурой

Виртуальная вычислительная система

Виртуальная система хранения данных

Виртуальный канал передачи данных

Отдельные виртуальные устройства обработки, хранения и передачи данных

Виртуальное средство ЗИ и средство ЗИ, предназначенное для использования в среде виртуализации

Контроль запуска хостовой и (или) гостевых операционных систем на основе заданных критериев обеспечения безопасности информации (режима запуска, типа используемого носителя и т. д.)

+

+

Контроль передачи служебных информационных сообщений, передаваемых в виртуальных сетях хостовой операционной системы, по следующим характеристикам: составу, объему и др.

+

+

Контроль работоспособности (изношенности) машинных носителей информации, подключенных к виртуальной инфраструктуре, переход на дублирующие при необходимости

+

Контроль работоспособности дублирующих ключевых компонентов аппаратного обеспечения ИС

+

Контроль работоспособности дублирующих ключевых компонентов виртуальной инфраструктуры

+

+

Контроль целостности данных, хранимых на машинных носителях информации, подключенных к виртуальной инфраструктуре

+

Контроль целостности компонентов, критически важных для функционирования гипервизора и ВМ

+

+

Контроль целостности компонентов, критически важных для функционирования хостовой и гостевых операционных систем

+

+

Контроль целостности микропрограммного обеспечения аппаратной части ИС

+

Контроль целостности файлов, содержащих настройки ВМ

+

+

Мера защиты информации

Объект защиты

Средства создания и управления виртуальной инфраструктурой

Виртуальная вычисли тельная система

Виртуальная система хранения данных

Виртуальный канал передачи данных

Отдельные виртуальные устройства обработки, хранения и передачи данных

Виртуальное средство ЗИ и средство ЗИ, предназначенное для использования в среде виртуализации

Контроль целостности файлов–образов ВМ, а также файлов–образов, используемых для обеспечения работы виртуальных файловых систем

+

+

Мониторинг загрузки мощностей физического и виртуального аппаратного обеспечения

+

+

+

Обеспечение возможности наследования установленных на уровне управления прав доступа субъектов доступа к объектам доступа на уровни виртуализации и оборудования

+

+

+

Обеспечение доверенных (защищенных) канала, маршрута передачи данных в (из) систему(ы) хранения данных, входящую в состав виртуальной инфраструктуры

+

Обеспечение доверенных канала, маршрута внутри виртуальной инфраструктуры между администратором, пользователем и средствами ЗИ (функциями безопасности средств ЗИ)

+

Обеспечение изоляции различных потоков данных, передаваемых и обрабатываемых компонентами виртуальной инфраструктуры хостовой операционной системы

+

+

Обеспечение подлинности сетевых соединений (сеансов взаимодействия) внутри виртуальной инфраструктуры, в том числе для защиты от подмены сетевых устройств и сервисов

+

+

+

+

Отключение неиспользуемых сетевых протоколов компонентами виртуальной инфраструктуры хостовой операционной системы

+

+

+

Мера защиты информации

Объект защиты

Средства создания и управления виртуальной инфраструктурой

Виртуальная вычислительная система

Виртуальная система хранения данных

Виртуальный канал передачи данных

Отдельные виртуальные устройства обработки, хранения и передачи данных

Виртуальное средство ЗИ и средство ЗИ, предназначенное для использования в среде виртуализации

Передача и контроль целостности атрибутов безопасности (меток безопасности), связанных с информацией ограниченного доступа, обрабатываемой в виртуальной инфраструктуре, при обмене информацией с иными ИС

+

Предотвращение задержки или прерывания выполнения в виртуальной инфраструктуре процессов с высоким приоритетом со стороны процессов с низким приоритетом

+

Предотвращение задержки или прерывания выполнения процессов ВМ с высоким приоритетом со стороны процессов ВМ с низким приоритетом

+

+

Применение индивидуальных прав доступа к объектам доступа субъектов доступа для одного или совокупности компонентов виртуальной инфраструктуры

+

+

Проверка наличия вредоносных программ в загрузочных областях машинных носителей информации, подключенных к ИС

+

Проверка наличия вредоносных программ в микропрограммном обеспечении физического и виртуального аппаратного обеспечения

+

+

+

Проверка наличия вредоносных программ в операционной среде гипервизора системы хранения данных

+

Проверка наличия вредоносных программ в файлах конфигурации гипервизора и (или) ВМ

+

+

Проверка наличия вредоносных программ в файлах конфигурации хостовой и гостевых операционных системах

+

+

Мера защиты информации

Объект защиты

Средства создания и управления виртуальной инфраструктурой

Виртуальная вычислительная система

Виртуальная система хранения данных

Виртуальный канал передачи данных

Отдельные виртуальные устройства обработки, хранения и передачи данных

Виртуальное средство ЗИ и средство ЗИ, предназначенное для использования в среде виртуализации

Проверка наличия вредоносных программ в файлах–образах ВМ, а также файлах– образах, используемых для обеспечения работы виртуальных файловых систем

+

+

+

Проверка оперативной памяти и файловой системы гипервизора и (или) ВМ на наличие вредоносных программ

+

+

Проверка оперативной памяти и файловой системы хостовой и (или) гостевых операционных систем на наличие вредоносных программ

+

+

Разделение данных в зависимости от уровня конфиденциальности обрабатываемой информации между компонентами системы хранения данных, отдельными машинными носителями информации, входящим в состав виртуальной, логическими дисками или между папками файлов

+

Разделение физических ресурсов между компонентами виртуальной инфраструктуры в зависимости от уровня конфиденциальности обрабатываемой информации

+

Размещение сенсоров и (или) датчиков систем обнаружения (предотвращения) вторжений в виртуальном аппаратном обеспечении

+

+

+

Размещение сенсоров и (или) датчиков систем обнаружения (предотвращения) вторжений в гипервизоре и (или) ВМ

+

+

Размещение сенсоров и (или) датчиков систем обнаружения (предотвращения) вторжений в хостовой и (или) гостевых операционных системах

+

+

Размещение системы хранения данных в защищенном сегменте ИС

+