Действующий

РС БР ИББС-2.8-2015 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности при использовании технологии виртуализации

13. Рекомендации по обеспечению ИБ системы хранения данных

13.1. В СХД рекомендуется выделять отдельные логические разделы для каждого контура безопасности, в том числе:

- для контура безопасности ПТП - разделы для хранения образов виртуальных машин и разделы для хранения данных пользователей (далее - разделы ПТП);

- для контура безопасности ИСПДн - разделы для хранения образов виртуальных машин и разделы для хранения данных пользователей (далее - разделы ИСПДн);

- разделы для хранения данных гипервизора, разделы для хранения ПО, необходимого для функционирования гипервизора, и разделы для хранения базовых образов виртуальных машин (далее - системные разделы).

13.2. Доступ к СХД рекомендуется осуществлять только с использованием средства виртуализации (гипервизора), АРМ, используемых для выполнения задач управления и администрирования СХД, и технических средств, используемых для резервного копирования информации.

13.3. Контроль доступа к логическим разделам СХД рекомендуется организовывать с использованием технических средств следующим образом:

13.3.1. Доступ к разделам ПТП рекомендуется предоставлять только со стороны виртуальных машин, включенных в контур безопасности ПТП, и при необходимости системы резервного копирования.

13.3.2. Доступ к логическим разделам ИСПДн рекомендуется предоставлять со стороны виртуальных машин, включенных в контур безопасности ИСПДн, и при необходимости системы резервного копирования.

13.3.3. Доступ к логическим системным разделам рекомендуется предоставлять со стороны АРМ администраторов серверных компонентов виртуализации и АРМ администраторов СХД соответственно и при необходимости системы резервного копирования.

13.3.4. Рекомендуемым решением является применение сертифицированных сетевых технических средств для контроля доступа к логическим разделам СХД.

13.4. АРМ, используемые для выполнения задач управления и администрирования СХД, рекомендуется располагать в специально выделенном сегменте вычислительных сетей. Размещение в указанных сетевых сегментах СВТ, не связанных с выполнением задач управления и администрирования, не рекомендуется. Выполнение задач, связанных с управлением и администрированием СХД, с использованием иных АРМ, рекомендуется ограничивать сертифицированными сетевыми техническими средствами.

13.5. Для выполнения задач управления и администрирования СХД рекомендуется использование минимально необходимого и регламентированного набора ПО, установленного на СВТ, используемого для выполнения указанных задач. Для данных СВТ рекомендуется выполнять регламентированные процедуры контроля целостности ПО, в том числе выполняемые при загрузке указанного ПО. Установка средств, предназначенных для разработки и отладки ПО, на указанных СВТ не рекомендуется.

13.6. Для организации защищенного доступа к средствам управления и администрирования СХД рекомендуется использовать двухфакторную идентификацию, реализуемую СЗИ от несанкционированного доступа, прошедшими оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации.