ГОСТ Р 56938-2016. Национальный стандарт Российской Федерации. Защита информации. Защита информации при использовании технологий виртуализации. Общие положения

6.5. Защита отдельных виртуальных устройств обработки, хранения и передачи данных

Мерами защиты виртуальных устройств обработки, хранения и передачи данных являются:

- блокировка доступа к объектам виртуальной инфраструктуры для субъектов доступа, не прошедших процедуру аутентификации;

- защита от НСД к вводимой субъектами доступа, входящими в состав виртуальной инфраструктуры, аутентификационной информации;

- защита от НСД к хранящейся в компонентах виртуальной инфраструктуры аутентификационной информации о субъектах доступа;

- идентификация и аутентификация субъектов доступа при их локальном или удаленном обращении к объектам виртуальной инфраструктуры;

- контроль доступа субъектов доступа к средствам конфигурирования виртуального аппаратного обеспечения;

- контроль доступа субъектов доступа к файлам-образам виртуализованного ПО и ВМ, а также файлам-образам, используемым для обеспечения работы виртуальных файловых систем;

- контроль работоспособности дублирующих ключевых компонентов виртуальной инфраструктуры;

- контроль целостности файлов, содержащих настройки виртуализованного ПО и ВМ;

- мониторинг загрузки мощностей физического и виртуального аппаратного обеспечения;

- обеспечение возможности наследования установленных на уровне управления прав доступа субъектов доступа к объектам доступа на уровни виртуализации и оборудования;

- обеспечение подлинности сетевых соединений (сеансов взаимодействия) внутри виртуальной инфраструктуры, в том числе для защиты от подмены сетевых устройств и сервисов;

- отключение неиспользуемых сетевых протоколов компонентами виртуальной инфраструктуры хостовой операционной системы;

- применение индивидуальных прав доступа к объектам доступа субъектов доступа для одного или совокупности компонентов виртуальной инфраструктуры;

- проверка наличия вредоносных программ в микропрограммном обеспечении физического и виртуального аппаратного обеспечения;

- разделение физических ресурсов между компонентами виртуальной инфраструктуры в зависимости от уровня конфиденциальности обрабатываемой информации;

- размещение сенсоров и/или датчиков систем обнаружения (предотвращения) вторжений в виртуальном аппаратном обеспечении;

- регистрация и учет запуска (завершения) работы компонентов виртуальной инфраструктуры;

- регистрация и учет изменений в составе программной и аппаратной части ИС во время ее функционирования и/или в период ее аппаратного отключения;

- регистрация изменений правил доступа к виртуальному аппаратному обеспечению;

- регистрация изменений состава и конфигурации виртуального аппаратного обеспечения;

- регистрация изменений состава ПО и виртуального аппаратного обеспечения в гипервизоре и/или ВМ;

- регистрация изменений состава ПО и виртуального аппаратного обеспечения в хостовой и/или гостевых операционных системах;

- резервное копирование защищаемой информации, хранимой на физических и виртуальных носителях информации;

- своевременное обнаружение отказов компонентов виртуальной инфраструктуры;

- создание (имитация) ложных компонентов виртуальной инфраструктуры, предназначенных для обнаружения, регистрации и анализа действий нарушителей в процессе реализации угроз безопасности;

- стирание остаточной информации, образующейся после удаления файлов, содержащих настройки виртуализованного ПО и виртуального аппаратного обеспечения;

- управление доступом к аппаратному обеспечению ИС, контроль подключения (отключения) машинных носителей информации.