Требования к реализации ЗИС.7: Оператором должны осуществляться контроль санкционированного и исключение несанкционированного использования технологий мобильного кода (активного контента) в информационной системе, в том числе регистрация событий, связанных с использованием технологии мобильного кода, их анализ и реагирование на нарушения, связанные с использованием технологии мобильного кода. Технология мобильного кода включает, в том числе использование Java, JavaScript, ActiveX, PDF, Postscript, Flash-анимация и VBScript и иных технологий.
При контроле использования технологий мобильного кода должно быть обеспечено:
определение перечня мобильного кода и технологий мобильного кода разрешенных и (или) запрещенных для использования в информационной системе;
определение разрешенных мест распространения (серверы информационной системы) и использования мобильного кода (автоматизированные рабочие места, мобильные технические средства информационной системы) и функций информационной системы, для которых необходимо применение технологии мобильного кода;
регистрация и анализ событий, связанных с разработкой, приобретением или внедрением технологии мобильного кода;
исключение возможности использования запрещенного мобильного кода в информационной системе, а также внедрение мобильного кода в местах, не разрешенных для его установки.
Правила и процедуры контроля использования технологий мобильного кода регламентируются в организационно-распорядительных документах оператора по защите информации.
Требования к усилению ЗИС.7:
1) в информационной системе должны быть реализованы механизмы обнаружения и анализа мобильного кода для выявления фактов несанкционированного использования мобильного кода и выполнения действий по реагированию (оповещение администраторов, изоляция мобильного кода (перемещение в карантин), блокирование мобильного кода, удаление мобильного кода) и иные действия, определяемые оператором;
2) в информационной системе должен осуществляться запрет загрузки и выполнения запрещенного мобильного кода;
3) в информационной системе для приложений, определяемых оператором, должен осуществляться запрет автоматического выполнения разрешенного мобильного кода (уведомление пользователя о получении мобильного кода и запрос разрешения на запуск или иные действия определяемые оператором);
4) в информационной системе должен осуществляться контроль подлинности источника мобильного кода и контроль целостности мобильного кода.
Содержание базовой меры ЗИС.7:
Мера защиты | Класс защищенности информационной системы | |||
информации | 4 | 3 | 2 | 1 |
ЗИС.7 | + | + | ||
Усиление ЗИС.7 | 1 | 1, 2 |