ГОСТ Р 56938—2016
- разделение данных в зависимости от уровня конфиденциальности обрабатываемой информа
ции между компонентами системы хранения данных, отдельными машинными носителями информа
ции. входящими в состав виртуальной инфраструктуры, логическими дисками или между папками
файлов;
- размещение системы храненияданных в защищенном сегменте информационной системы,
- регистрация изменений прав доступа к информации, хранящейся в системе хранения данных,
входящей в состав виртуальной инфраструктуры:
- регистрация изменений прав доступа к файлам-образам виртуализованного ПО и ВМ. а также
файлам-образам, используемым для обеспечения работы виртуальныхфайловых систем;
- регистрация изменений правил доступа к виртуальному и физическому аппаратному обеспе
чению системы храненияданных;
- регистрация изменений состава и конфигурации виртуального и физического аппаратного
обеспечения системы хранения данных;
- резервное копирование файлов-образов виртуализованного ПО и ВМ. атакже файлов-образов,
используемыхдля обеспечения работы виртуальных файловых систем:
- создание (имитация) ложных компонентов виртуальной инфраструктуры, предназначенных для
обнаружения, регистрации и анализа действий нарушителей в процессе реализации угроз безопас
ности;
- управление доступом к аппаратному обеспечению системы хранения данных, контроль под
ключения (отключения) машинных носителей информации к/от виртуальной инфраструктуре(ы);
- шифрование файлов-образоввиртуализованного ПОиВМ. атакжефайлов-образов, используе
мыхдля обеспечения работы виртуальныхфайловыхсистем, содержащихинформацию ограниченного
доступа.
6.4 Защита виртуальных каналов передачи данных
Мерами защиты виртуальных каналов передачиданныхявляются;
- автоматическое восстановление работоспособности системы хранения данных, подключенной
к виртуальной инфраструктуре, вслучае отказаодного или нескольких ее компонентов:
- автоматическое изменение маршрутов передачи сетевых пакетов между компонентами вир
туальной инфраструктуры внутри гипервизора;
- блокировка доступа к объектам виртуальной инфраструктуры для субъектов доступа, не про
шедших процедуру аутентификации;
- выявление, анализ и блокирование внутри виртуальной инфраструктуры скрытых каналов
передачи информации вобход реализованных мер ЗИ или внутри разрешенныхсетевых протоколов;
- защита от НСД к вводимой субъектами доступа, входящими в состав виртуальной инфраструк
туры. аутентификационной информации;
- защита от НСД кхранящейся в компонентахвиртуальной инфраструктуры аутентификационной
информации о субъектахдоступа;
- идентификация и аутентификация субъектов доступа при их локальном или удаленном обра
щении к объектам виртуальной инфраструктуры;
- контроль передачи служебных информационных сообщений, передаваемых в виртуальных
сетяххостовой операционной системы, последующим характеристикам; составу, объему идр.;
- мониторингзагрузки мощностей физического и виртуального аппаратного обеспечения;
- обеспечение изоляции различных потоков данных, передаваемых и обрабатываемых компо
нентами виртуальной инфраструктуры хостовой операционной системы;
- обеспечение подлинности сетевых соединений (сеансов взаимодействия) внутри виртуальной
инфраструктуры, втом числедля защиты от подмены сетевыхустройств исервисов;
- отключение неиспользуемых сетевых протоколов компонентами виртуальной инфраструктуры
хостовой операционной системы;
- передача и контроль целостности атрибутов безопасности (меток безопасности), связанных с
информацией ограниченного доступа, обрабатываемой в виртуальной инфраструктуре, при обмене
информацией с иными ИС,
- резервирование пропускной способности канала связи для обеспечения стабильного взаимо
действия между компонентами виртуальной инфраструктуры внутри гипервизора;
- создание (имитация) ложных компонентов виртуальной инфраструктуры, предназначенных для
обнаружения, регистрации и анализа действий нарушителей в процессе реализации угроз безопас
ности;
12