6.1. Рекомендации по разделению потоков информации и изоляции виртуальных машин применяются с целью обеспечения независимого выполнения:
- банковских платежных технологических процессов;
- банковских информационных технологических процессов разной степени критичности для деятельности организации БС РФ, реализуемых в пределах разных контуров безопасности;
- банковских информационных технологических процессов, реализуемых в пределах контура безопасности ИСПДн.
6.2. Рекомендуется размещение совокупности виртуальных машин, входящих в разные контуры безопасности, в первую очередь контур безопасности ПТП и контур безопасности ИСПДн, на отдельных физических СВТ (хост-серверах).
6.3. Доступ к виртуальным машинам, включенным в контур безопасности ПТП, рекомендуется осуществлять только с АРМ, включенных в контур безопасности ПТП.
Доступ к виртуальным машинам, включенным в контур безопасности ИСПДн, рекомендуется осуществлять только с АРМ, включенным в контур безопасности ИСПДн.
Для иных контуров безопасности организации БС РФ рекомендуется реализовать правила, ограничивающие доступ к виртуальным машинам только с АРМ конкретных (установленных) контуров безопасности.
6.4. Реализацию требований и правил ограничения доступа к виртуальным машинам с АРМ, установленных в пункте 6.3 настоящего документа, рекомендуется осуществлять на уровне не выше третьего (сетевой уровень) по семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ 28906-91, путем применения технических средств, прошедших в соответствии с законодательством РФ оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации (далее - сертифицированные сетевые технические средства).
6.5. Средствами (настройками) гипервизора и (или) иными техническими средствами рекомендуется обеспечивать:
- выделение для групп виртуальных машин, включенных в разные контуры безопасности, в том числе контур безопасности ПТП и контур безопасности ИСПДн, отдельных используемых только для работы данных групп виртуальных машин, логических областей оперативной памяти физического СВТ (хост-сервера);
- запрет нерегламентированного в эксплуатационной документации информационного обмена между виртуальными машинами с использованием общих ресурсов физического СВТ (хост-сервера), в том числе общих областей оперативной памяти физического СВТ (хост-сервера);
- запрет нерегламентированного информационного обмена между виртуальными машинами и программными процессами и ОС физического СВТ (хост-сервера), на котором функционирует гипервизор, с использованием общих ресурсов физического СВТ (хост-сервера), в том числе общих областей оперативной памяти физического СВТ (хост-сервера).
6.6. Не рекомендуется использовать физическое СВТ (хост-сервер), предназначенное для размещения гипервизора, для организации функционирования ПО, реализующего банковские технологические процессы, вне виртуальной машины.
6.7. Совокупность виртуальных машин, включенных в разные контуры безопасности, в том числе в контур безопасности ПТП и контур безопасности ИСПДн, рекомендуется размещать в отдельных сегментах (группах сегментов) вычислительных сетей, в том числе виртуальных вычислительных сетей, реализованных с использованием функциональных возможностей гипервизора.
Информационный обмен между указанными сегментами (группами сегментов) вычислительных сетей рекомендуется обеспечивать только физическим сетевым оборудованием.
6.8. В соответствии с требованиями законодательства РФ для защиты контура безопасности ИСПДн следует применять СЗИ, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации.
6.9. Для организации информационного обмена между сегментами вычислительных сетей, используемыми для размещения виртуальных машин, включенных в контур безопасности ПТП и контур безопасности ИСПДн, и сегментами вычислительных сетей, используемыми для размещения АРМ, включенных в контур безопасности ПТП и контур безопасности ИСПДн соответственно, рекомендуется использовать сертифицированные сетевые технические средства.
6.10. Средствами гипервизора и (или) иными техническими средствами рекомендуется реализовывать запрет нерегламентированного информационного обмена между виртуальными машинами, включенными в контур безопасности ПТП и контур безопасности ИСПДн, используемыми для эксплуатации различных АБС организации БС РФ.
6.11. Рекомендуемым решением является использование гипервизоров, прошедших в соответствии с законодательством РФ оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации.