Действующий

РС БР ИББС-2.8-2015 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности при использовании технологии виртуализации

6. Рекомендации по разделению потоков информации и изоляции виртуальных машин

6.1. Рекомендации по разделению потоков информации и изоляции виртуальных машин применяются с целью обеспечения независимого выполнения:

- банковских платежных технологических процессов;

- банковских информационных технологических процессов разной степени критичности для деятельности организации БС РФ, реализуемых в пределах разных контуров безопасности;

- банковских информационных технологических процессов, реализуемых в пределах контура безопасности ИСПДн.

6.2. Рекомендуется размещение совокупности виртуальных машин, входящих в разные контуры безопасности, в первую очередь контур безопасности ПТП и контур безопасности ИСПДн, на отдельных физических СВТ (хост-серверах).

6.3. Доступ к виртуальным машинам, включенным в контур безопасности ПТП, рекомендуется осуществлять только с АРМ, включенных в контур безопасности ПТП.

Доступ к виртуальным машинам, включенным в контур безопасности ИСПДн, рекомендуется осуществлять только с АРМ, включенным в контур безопасности ИСПДн.

Для иных контуров безопасности организации БС РФ рекомендуется реализовать правила, ограничивающие доступ к виртуальным машинам только с АРМ конкретных (установленных) контуров безопасности.

6.4. Реализацию требований и правил ограничения доступа к виртуальным машинам с АРМ, установленных в пункте 6.3 настоящего документа, рекомендуется осуществлять на уровне не выше третьего (сетевой уровень) по семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ 28906-91, путем применения технических средств, прошедших в соответствии с законодательством РФ оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации (далее - сертифицированные сетевые технические средства).

6.5. Средствами (настройками) гипервизора и (или) иными техническими средствами рекомендуется обеспечивать:

- выделение для групп виртуальных машин, включенных в разные контуры безопасности, в том числе контур безопасности ПТП и контур безопасности ИСПДн, отдельных используемых только для работы данных групп виртуальных машин, логических областей оперативной памяти физического СВТ (хост-сервера);

- запрет нерегламентированного в эксплуатационной документации информационного обмена между виртуальными машинами с использованием общих ресурсов физического СВТ (хост-сервера), в том числе общих областей оперативной памяти физического СВТ (хост-сервера);

- запрет нерегламентированного информационного обмена между виртуальными машинами и программными процессами и ОС физического СВТ (хост-сервера), на котором функционирует гипервизор, с использованием общих ресурсов физического СВТ (хост-сервера), в том числе общих областей оперативной памяти физического СВТ (хост-сервера).

6.6. Не рекомендуется использовать физическое СВТ (хост-сервер), предназначенное для размещения гипервизора, для организации функционирования ПО, реализующего банковские технологические процессы, вне виртуальной машины.

6.7. Совокупность виртуальных машин, включенных в разные контуры безопасности, в том числе в контур безопасности ПТП и контур безопасности ИСПДн, рекомендуется размещать в отдельных сегментах (группах сегментов) вычислительных сетей, в том числе виртуальных вычислительных сетей, реализованных с использованием функциональных возможностей гипервизора.

Информационный обмен между указанными сегментами (группами сегментов) вычислительных сетей рекомендуется обеспечивать только физическим сетевым оборудованием.

6.8. В соответствии с требованиями законодательства РФ для защиты контура безопасности ИСПДн следует применять СЗИ, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации.

6.9. Для организации информационного обмена между сегментами вычислительных сетей, используемыми для размещения виртуальных машин, включенных в контур безопасности ПТП и контур безопасности ИСПДн, и сегментами вычислительных сетей, используемыми для размещения АРМ, включенных в контур безопасности ПТП и контур безопасности ИСПДн соответственно, рекомендуется использовать сертифицированные сетевые технические средства.

6.10. Средствами гипервизора и (или) иными техническими средствами рекомендуется реализовывать запрет нерегламентированного информационного обмена между виртуальными машинами, включенными в контур безопасности ПТП и контур безопасности ИСПДн, используемыми для эксплуатации различных АБС организации БС РФ.

6.11. Рекомендуемым решением является использование гипервизоров, прошедших в соответствии с законодательством РФ оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации.