ГОСТ Р 56938-2016

     

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Защита информации

ЗАЩИТА ИНФОРМАЦИИ ПРИ ИСПОЛЬЗОВАНИИ ТЕХНОЛОГИЙ ВИРТУАЛИЗАЦИИ

Общие положения

Information protection. Information security with virtualization technology. General

ОКС 35.020

Дата введения 2017-06-01

Предисловие

1 РАЗРАБОТАН Федеральным автономным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФАУ "ГНИИИ ПТЗИ ФСТЭК России")

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 362 "Защита информации"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 1 июня 2016 г. N 457-ст

4 ВВЕДЕН ВПЕРВЫЕ

5 ПЕРЕИЗДАНИЕ. Ноябрь 2018 г.

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

     1 Область применения

Настоящий стандарт устанавливает требования по защите информации, обрабатываемой с использованием технологий виртуализации.

В настоящем стандарте рассматриваются только угрозы безопасности и меры защиты информации, обрабатываемой с помощью технологий виртуализации. Меры защиты информации, изложенные в настоящем стандарте, предназначены для применения только в случае обработки информации с использованием технологий виртуализации. Кроме мер защиты информации, изложенных в настоящем стандарте, для обеспечения требуемого уровня защищенности информации, обрабатываемой в информационных системах, построенных с использованием технологий виртуализации, необходимо дополнительно применять меры защиты информации, общеупотребимые для любых автоматизированных систем в защищенном исполнении.

Настоящий стандарт применяют совместно с другими стандартами, устанавливающими характеристики продукции, правила осуществления и характеристики процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг в области защиты информации.

     2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ 34.003 Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения

ГОСТ Р 50922 Защита информации. Основные термины и определения

ГОСТ Р 53114 Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения

ГОСТ Р ИСО/МЭК 27000 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология

Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

     3 Термины и определения

В настоящем стандарте применены термины по ГОСТ Р ИСО/МЭК 27000, ГОСТ 34.003, ГОСТ Р 50922, ГОСТ Р 53114, а также следующие термины с соответствующими определениями:

3.1 виртуализация: Группа технологий, основанных на преобразовании формата или параметров программных или сетевых запросов к компьютерным ресурсам с целью обеспечения независимости процессов обработки информации от программной или аппаратной платформы информационной системы.

3.2 виртуализация программного обеспечения (виртуализация программ): Технология создания изолированной программной среды (контейнера) со специфическим набором компонентов имитируемой операционной системы, обеспечивающим работу отдельных программ.

3.3 виртуализация аппаратного обеспечения, виртуализация вычислительных систем: Технология создания изолированной программной среды (контейнера) со специфическим набором компонентов имитируемого микропрограммного и аппаратного обеспечения, обеспечивающим работу отдельных операционных систем.

3.4 виртуальная машина; ВМ: Виртуальная вычислительная система, которая состоит из виртуальных устройств обработки, хранения и передачи данных и которая дополнительно может содержать программное обеспечение и пользовательские данные.

Примечания

1 Виртуальная машина является простейшей формой виртуальных вычислительных систем.

2 Несколько виртуальных машин, объединенных для решения определенных задач, также составляют виртуальную вычислительную систему. В этом случае виртуальная машина выступает в качестве базового элемента при построении (сложных) виртуальных вычислительных систем.

3 Виртуальная машина скрывает настоящую реализацию находящихся в ней процессов и объектов от процессов, запущенных вне виртуальной машины. Верно и обратное - виртуальная машина скрывает настоящую реализацию находящихся вне нее процессов и объектов от процессов, запущенных внутри виртуальной машины.

3.5 гостевая операционная система: Операционная система, установленная в виртуальной машине.

3.6 образ виртуальной машины: Файл (файлы), содержащий(ие) информацию о конфигурации, настройках и состоянии виртуальной машины, а также хранящиеся в ней программы и данные.

3.7 виртуализация систем хранения данных: Технология построения изолированного пространства хранения данных с единым интерфейсом управления на основе машинных накопителей информации, обеспечивающая получение необходимой информации посредством ее передачи по каналам передачи данных.

Примечание - Базовым элементом при построении (сложных) виртуальных систем хранения данных является виртуальный накопитель (виртуальный диск).

3.8 виртуализация вычислительных сетей (виртуализация каналов передачи данных): Технология объединения аппаратных и программных сетевых ресурсов и сетевых функций в едином программно администрируемом объекте для реализации их логического взаимодействия через дополнительные виртуальные сетевые ресурсы и функции.

3.9 виртуальная вычислительная сеть (виртуальный канал передачи данных): Вычислительная сеть, содержащая один или более виртуальных сетевых ресурсов и/или функций.

Примечание - Базовыми элементами при построении (сложных) виртуальных вычислительных сетей, как и других вычислительных сетей, являются сетевые ресурсы (оконечные и промежуточные узлы [вычислительной сети]) и сетевые функции (фильтрация, кодирование трафика и др.).

3.10 аппаратная поддержка виртуализации: Технология, реализованная в процессорах (чипсетах) компьютеров в виде инструкций (команд), служащая для улучшения технических характеристик информационных систем, построенных с использованием технологий виртуализации, и/или повышения безопасности объектов защиты таких систем.

3.11 гипервизор [вычислительных систем] (монитор виртуальных машин): Программа, создающая среду функционирования других программ (в том числе других гипервизоров) за счет имитации аппаратных средств вычислительной техники, управления данными средствами и гостевыми операционными системами, функционирующими в данной среде.

Примечание - Различают гипервизор I типа, гипервизор II типа.

3.12 хостовая операционная система: Операционная система, в среде которой функционирует гипервизор.

3.13 гипервизор I типа: Гипервизор, устанавливаемый непосредственно на аппаратное обеспечение в качестве системного программного обеспечения.

3.14 гипервизор II типа: Гипервизор, устанавливаемый в среде хостовой операционной системы в качестве прикладного программного обеспечения.

3.15 гипервизор систем хранения данных: Программа, устанавливаемая непосредственно на аппаратное обеспечение в качестве системного программного обеспечения или в среде хостовой операционной системы в качестве прикладного программного обеспечения, выполняющая функции посредника между логическим и физическим адресными пространствами для обеспечения высокого уровня управления ресурсами хранения данных.

Примечание - Обеспечение наивысшего уровня управления всей совокупностью вычислительных ресурсов достигается за счет совместного использования гипервизора систем хранения данных и гипервизора I или II типа. При этом гипервизор систем хранения данных изменяет способы обработки запросов ввода/вывода гипервизорами I или II типа для повышения производительности, эффективности использования и управления ресурсами хранения данных.

3.16 виртуальная инфраструктура: Композиция иерархически взаимосвязанных групп виртуальных устройств обработки, хранения и/или передачи данных, а также группы необходимых для их работы аппаратных и/или программных средств.

Примечания

1 Группа задействованных аппаратных средств и/или запущенных программ (процессов, потоков), используемых для реализации работы виртуальных устройств обработки, хранения и/или передачи данных, составляет периметр виртуальной инфраструктуры.

2 В виртуальной инфраструктуре различают по меньшей мере три уровня иерархии:

- на первом (нижнем) уровне иерархии (уровне оборудования) расположена аппаратная часть периметра виртуальной инфраструктуры - аппаратные средства, используемые для реализации технологий виртуализации, в том числе с реализованной в них аппаратной поддержкой виртуализации;

- на втором уровне иерархии (уровне виртуализации) расположены гипервизоры и порожденные ими объекты (виртуальные машины, виртуальные сервера, виртуальные процессоры, виртуальные диски, виртуальная память, виртуальное активное и пассивное сетевое оборудование, виртуальные средства защиты информации и др.);

- на третьем (верхнем) уровне иерархии (уровне управления) расположено средство централизованного управления гипервизорами в рамках одной виртуальной инфраструктуры - консоль управления виртуальной инфраструктурой.

3.17 компонент виртуальной инфраструктуры: Часть виртуальной инфраструктуры, выделенная по определенному признаку или совокупности признаков и рассматриваемая как единое целое.

Примечание - Схема взаимосвязи терминов приведена в приложении А.

     4 Объекты защиты

Под термином "виртуализация" объединяется множество информационных технологий, призванных снижать затраты на разворачивание компьютерной сети организации, повышать отказоустойчивость применяемых серверных решений, а также достигать других преимуществ. Виртуализация представляет собой имитацию программного и/или аппаратного обеспечения, в среде (на базе) которого функционируют различные программы.

Виртуализацию проводят в отношении:

- программ;

- вычислительных систем;

- систем хранения данных;

- вычислительных сетей;

- памяти;

- данных.

При использовании технологий виртуализации создаются (виртуальные и виртуализованные) объекты доступа, подлежащие защите наравне с другими объектами информационных систем, в том числе аппаратные средства информационных систем, используемые для реализации технологий виртуализации. К основным объектам защиты при использовании технологий виртуализации относят:

- средства создания и управления виртуальной инфраструктурой (гипервизор I типа, гипервизор II типа, гипервизор системы хранения данных, консоль управления виртуальной инфраструктурой и др.);

- виртуальные вычислительные системы (ВМ, виртуальные сервера и др.);

- виртуальные системы хранения данных;

- виртуальные каналы передачи данных;

- отдельные виртуальные устройства обработки, хранения и передачи данных (виртуальные процессоры, виртуальные диски, виртуальную память, виртуальное активное и пассивное сетевое оборудование и др.);

- виртуальные средства защиты информации (ЗИ) и средства ЗИ, предназначенные для использования в среде виртуализации;

- периметр виртуальной инфраструктуры (задействованные при реализации технологий виртуализации центральные процессоры и их ядра, адресное пространство памяти, сетевые интерфейсы, порты подключения внешних устройств и др.).

Для защиты перечисленных объектов используют как виртуальные средства ЗИ и средства ЗИ, предназначенные для использования в среде виртуализации, являющиеся разновидностями средств ЗИ, так и другие виды средств ЗИ.

     5 Угрозы безопасности, обусловленные использованием технологий виртуализации

Использование технологий виртуализации создает предпосылки для появления угроз безопасности, не характерных для информационных систем, построенных без использования технологий виртуализации. Общий перечень угроз, дополнительно могущих возникать при использовании технологий виртуализации, включает угрозы, описанные далее.

     5.1 Угрозы атаки на активное и/или пассивное виртуальное и/или физическое сетевое оборудование из физической и/или виртуальной сети

Данные угрозы появляются в связи с ограниченностью функциональных возможностей (наличием слабостей) активного и/или пассивного виртуального и/или физического сетевого оборудования, входящего в состав виртуальной инфраструктуры. На реализацию данных угроз прямое влияние оказывают: наличие уязвимостей программного и/или микропрограммного обеспечения указанного оборудования, наличие у него фиксированного сетевого адреса и другие параметры его настройки, возможность изменения алгоритма работы программного обеспечения (ПО) сетевого оборудования вредоносными программами.