Действующий

РС БР ИББС-2.8-2015 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности при использовании технологии виртуализации

7. Рекомендации по обеспечению ИБ образов виртуальных машин

7.1. В организации БС РФ рекомендуется регламентировать процессы жизненного цикла базовых образов виртуальных машин, в том числе процесс создания и модернизации базовых образов виртуальных машин.

7.2. Состав ПО каждого из базовых образов виртуальных машин рекомендуется согласовывать со службой ИБ организации БС РФ.

7.3. Для каждого из серверных компонентов АБС организации БС РФ рекомендуется использовать отдельный образ виртуальной машины. Не рекомендуется организовывать функционирование более чем одного серверного компонента АБС организации БС РФ на одной виртуальной машине.

7.4. В случае использования разделяемых (общих) СЗИ, эксплуатируемых с использованием технологии виртуализации для целей обеспечения защиты информации более чем двух виртуальных машин, указанные СЗИ рекомендуется размещать на отдельной виртуальной машине, предназначенной только для этой цели, или физическом СВТ.

7.5. При создании базовых образов виртуальных машин рекомендуется проводить процедуры, необходимые для выполнения последующего контроля их целостности.

7.6. В образ виртуальной машины рекомендуется включать прикладное ПО АБС организации БС РФ, предназначенное для работы только в одном из контуров безопасности.

7.7. На этапах создания и (или) модернизации АБС организации БС РФ, в том числе тестирования ПО в виртуальной среде, рекомендуется организовывать виртуальный тестовый сегмент, доступ к которому рекомендуется осуществлять по отдельному физическому сетевому интерфейсу. Виртуальные машины тестового сегмента рекомендуется размещать на отдельном физическом СВТ.

7.8. Созданный или измененный базовый образ виртуальной машины перед размещением на основном оборудовании, реализующем технологию виртуализации, рекомендуется проверять в тестовом сегменте на:

- корректность работы программных компонентов;

- отсутствие вредоносного кода;

- соответствие настроек включенных в образ программных компонентов СЗИ требованиям, установленным соответствующей эксплуатационной документацией.

7.9. Для каждого базового образа виртуальной машины рекомендуется выполнять регламентированные процедуры контроля:

- соответствия настроек, включенных в образ программных компонентов СЗИ, требованиям, установленным эксплуатационной документацией;

- целостности ПО, включенного в образ виртуальной машины.

7.10. Для каждого базового образа виртуальной машины рекомендуется выполнять регламентированные процедуры обновления:

- средств защиты от воздействия вредоносного кода, в том числе сигнатурных баз средств защиты от воздействия вредоносного кода;

- программных компонентов СЗИ и их настроек, включенных в образ;

- системного и прикладного ПО, в том числе ОС, обеспечивающих устранение уязвимостей ПО.

После выполнения указанных процедур обновления рекомендуется проводить процедуры, необходимые для выполнения последующего контроля целостности образов виртуальных машин.

7.11. Средствами гипервизора и (или) иными техническими средствами рекомендуется реализовать запрет копирования текущих образов виртуальных машин, используемых для реализации технологии виртуализации рабочих мест пользователей.

Копирование текущих образов виртуальных машин, используемых для функционирования серверных компонентов АБС организации БС РФ, рекомендуется осуществлять только для цели создания резервных копий в соответствии с установленными регламентами.

Не допускается копирование текущих образов виртуальных машин, использующих средства криптографической защиты информации, с загруженными криптографическими ключами.

7.12. Рекомендуется регламентировать и выполнять процедуры учета используемых базовых образов виртуальных машин, предусматривающие среди прочего их вывод из эксплуатации и удаление.