Действующий

РС БР ИББС-2.8-2015 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности при использовании технологии виртуализации

12. Рекомендации по составу ролей и разграничению полномочий эксплуатационного персонала

12.1. В организации БС РФ рекомендуется выделение следующих ролей эксплуатационного персонала:

12.1.1. Администратор виртуальных машин и администратор информационной безопасности (АИБ) виртуальных машин, выполняющие обязанности, предусмотренные для администраторов и АИБ АБС организации БС РФ, эксплуатируемых на виртуальных машинах.

Администратору виртуальных машин и АИБ виртуальных машин не рекомендуется иметь прав доступа:

- по управлению серверными компонентами виртуализации, в том числе гипервизором и физическим СВТ (хост-сервером), на котором он установлен, и СЗИ от несанкционированного доступа, используемыми для организации доступа к серверным компонентам виртуализации;

- по управлению СХД;

- к информации, хранимой в СХД;

- по управлению физическим сетевым оборудованием, используемым для разделения сегментов вычислительной сети в соответствии с требованиями, установленными в разделе 6 настоящих рекомендаций.

12.1.2. Администратор по управлению серверными компонентами виртуализации, выполняющий среди прочих обязанности по созданию виртуальных машин, управлению образами виртуальных машин на этапах их жизненного цикла.

Администратору по управлению серверными компонентами виртуализации не рекомендуется иметь прав доступа:

- предусмотренных для администратора виртуальных машин и АИБ виртуальных машин;

- по предоставлению доступа к виртуальным машинам, включая настройку виртуальных сегментов вычислительных сетей, в которых размещаются виртуальные машины, и настройку программно-аппаратных средств, используемых для сопоставления загружаемых образов виртуальных машин с предъявляемыми пользователями аппаратными идентификаторами;

- по управлению СЗИ от несанкционированного доступа, используемыми для организации доступа к серверным компонентам виртуализации;

- по управлению СХД;

- по управлению физическим сетевым оборудованием, используемым для разделения сегментов вычислительной сети в соответствии с требованиями, установленными в разделе 6 настоящих рекомендаций.

12.1.3. АИБ по управлению серверными компонентами виртуализации, выполняющий среди прочего следующие обязанности:

- по предоставлению доступа к виртуальным машинам, включая настройку виртуальных сегментов вычислительных сетей, в которых размещаются виртуальные машины, по настройке программно-аппаратных средств, используемых для сопоставления загружаемых образов виртуальных машин с предъявляемыми пользователями аппаратными идентификаторами;

- по контролю доступа и мониторингу событий и действий персонала в СХД;

- по управлению СЗИ от несанкционированного доступа, используемыми для организации доступа к серверным компонентам виртуализации;

- по управлению средствами защиты от воздействий вредоносного кода на уровне гипервизора;

- по настройке/обновлению сигнатурных баз средств защиты от воздействий вредоносного кода на уровне гипервизора;

- по применению групповых политик безопасности средств защиты от воздействий вредоносного кода на уровне гипервизора;

- по контролю отсутствия вредоносного кода;

- по просмотру журналов средств защиты от воздействий вредоносного кода на уровне гипервизора.

АИБ по управлению серверными компонентами виртуализации не рекомендуется иметь прав доступа:

- предусмотренных для администратора и АИБ автоматизированных систем организации БС РФ, эксплуатируемых на виртуальных машинах;

- по созданию виртуальных машин, управлению образами виртуальных машин на этапах их жизненного цикла;

- по управлению СХД;

- к информации, хранимой в СХД;