Разработка адекватной политики безопасности для автоматизированной системы IТ отдела ЭЛАР

    должна  осуществляться регистрация запуска/завершения программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов.

    В параметрах регистрации указываются: дата и время запуска, имя (идентификатор) программы (процесса, задания), идентификатор субъекта доступа, запросившего программу (процесс, задание), результат запуска ( успешный, неуспешный несанкционированный);

    должна  осуществляться регистрация попыток  доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам.

    В параметрах регистрации указываются: дата и время попытки доступа  к защищаемому файлу с указанием ее результата: успешная, неуспешная несанкционированная, идентификатор субъекта доступа, спецификация защищаемого файла;

    должна  осуществляться регистрация попыток  доступа программных средств  к следующим дополнительным защищаемым объектам доступа: терминалам, ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей.

    В параметрах регистрации указываются: дата и время попытки доступа  к защищаемому объекту с указанием ее результата: успешная, неуспешная несанкционированная, идентификатор субъекта доступа, спецификация защищаемого объекта (логическое имя/номер);

    должен  осуществляться автоматический учет создаваемых  защищаемых файлов с помощью их дополнительной маркировки, используемой в подсистеме управления доступом.

    Маркировка  должна отражать уровень конфиденциальности объекта;

    

    должен  проводиться учет всех защищаемых носителей  информации с помощью их любой  маркировки, учет защищаемых носителей  должен проводиться в журнале (картотеке) с регистрацией их выдачи/приема, должно проводиться несколько видов учета ( дублирующих ) защищаемых носителей информации;

    должна  осуществляться очистка (обнуление, обезличивание) освобождаемых областей оперативной  памяти ЭВМ и внешних накопителей. Очистка осуществляется двухкратной произвольной записью в освобождаемую область памяти, ранее использованную для хранения защищаемых данных (файлов).

    криптографическая подсистема:

    должно  осуществляться шифрование всей конфиденциальной информации, записываемой на совместно используемые различными субъектами доступа (разделяемые) носители данных, в каналах связи, а также на съемные носители данных (дискеты, микрокассеты и т.п.) долговременной внешней памяти для хранения за пределами сеансов работы санкционированных субъектов доступа. При этом должны выполняться автоматическое освобождение и очистка областей внешней памяти, содержавших ранее незашифрованную информацию;

    доступ  субъектов к операциям шифрования и криптографическим ключам должен дополнительно контролироваться подсистемой управления доступом;

    должны  использоваться сертифицированные  средства криптографической защиты. Их сертификация проводится специальными сертификационными центрами или  специализированными предприятиями, имеющими лицензию на проведение сертификации криптографических средств защиты.

    подсистема  обеспечения целостности:

    должна  быть обеспечена целостность программных  средств СЗИ НСД, обрабатываемой информации, а также неизменность программной среды, при этом:

    целостность СЗИ НСД проверяется при загрузке системы по наличию имен (идентификаторов) компонент СЗИ,

    целостность программной среды обеспечивается отсутствием в АС средств разработки и отладки программ;

    должна  осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая постоянное наличие охраны территории и здания, где размещается АС, с помощью технических средств охраны и специального персонала, использование строгого пропускного режима, специальное оборудование помещений АС;

    должен быть предусмотрен администратор ( служба ) защиты информации, ответственный за ведение, нормальное функционирование и контроль работы СЗИ НСД;

    должно  проводиться периодическое тестирование функций СЗИ НСД при изменении  программной среды и персонала АС с помощью тестпрограмм, имитирующих попытки НСД;

    должны  быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение  двух копий программных средств  СЗИ НСД и их периодическое  обновление и контроль работоспособности;

    должны  использоваться сертифицированные средства защиты. Их сертификация проводится специальными сертификационными центрами или специализированными предприятиями, имеющими лицензию на проведение сертификации средств защиты СЗИ НСД. 

10. Требования к АС первой группы

2.11.Требования  к классу защищенности 1Д:

подсистема  управления доступом:должна осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по паролю условно-постоянного действия длиной не менее шести символов.

подсистема  регистрации и учета:

должна  осуществляться регистрация входа/выхода субъектов доступа в систему/из системы, либо регистрация загрузки и инициализации операционной системы  и ее программного останова. Регистрация выхода из системы или останов не проводится в моменты аппаратурного отключения АС.

В параметрах регистрации указываются: время  и дата входа/выхода субъекта доступа  в систему/из системы или загрузки/останова системы, результат попытки входа: успешный или неуспешный несанкционированный, идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа;

должен  проводиться учет всех защищаемых носителей  информации с помощью их любой  маркировки, учет защищаемых носителей должен проводиться в журнале (картотеке) с регистрацией их выдачи/приема.

подсистема  обеспечения целостности:

должна  быть обеспечена целостность программных  средств СЗИ НСД, обрабатываемой информации, а также неизменность программной среды, при этом:

целостность СЗИ НСД проверяется при загрузке системы по контрольным суммам компонент  СЗИ,

целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и ( или ) хранения защищаемой информации;

должна  осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая контроль доступа в помещения АС посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения АС и хранилище носителей информации, особенно в нерабочее время;

должно  проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тестпрограмм, имитирующих попытки НСД;

должны  быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение  двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности. 

2.12. Требования  к классу защищенности 1Г:

подсистема  управления доступом:

должна  осуществляться идентификация и  проверка подлинности субъектов  доступа при входе в систему  по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести символов;

должна  осуществляться идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по логическим именам;

должна  осуществляться идентификация программ, томов, каталогов, файлов, записей, полей записей по именам;

должен  осуществляться контроль доступа субъектов  к защищаемым ресурсам в соответствии с матрицей доступа.

подсистема  регистрации и учета:

должна  осуществляться регистрация входа/выхода субъектов доступа в систему/из системы, либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останов не проводится в моменты аппаратурного отключения АС.

В параметрах регистрации указываются: время и дата входа/выхода субъекта доступа в систему/из системы или загрузки/останова системы, результат попытки входа: успешный или неуспешный несанкционированный, идентификатор ( код или фамилия ) субъекта, предъявленный при попытке доступа, код или пароль, предъявленный при неуспешной попытке;

должна  осуществляться регистрация выдачи печатных (графических) документов на "твердую" копию.

В параметрах регистрации указываются: время  и дата выдачи ( обращения к подсистеме вывода ), спецификация устройства выдачи ( логическое имя/номер внешнего устройства), краткое содержание ( наименование, вид, шифр, код ) и уровень конфиденциальности документа, идентификатор субъекта доступа, запросившего документ;

должна  осуществляться регистрация запуска/завершения программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов.

В параметрах регистрации указываются: дата и  время запуска, имя (идентификатор) программы (процесса, задания), идентификатор  субъекта доступа, запросившего программу (процесс, задание), результат запуска (успешный, неуспешный несанкционированный);

должна  осуществляться регистрация попыток  доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам.

В параметрах регистрации указываются: дата и время попытки доступа к защищаемому файлу с указанием ее результата: успешная, неуспешная несанкционированная, идентификатор субъекта доступа, спецификация защищаемого файла;

должна  осуществляться регистрация попыток  доступа программных средств  к следующим дополнительным защищаемым объектам доступа: терминалам, ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей.

В параметрах регистрации указываются: дата и  время попытки доступа к защищаемому объекту с указанием ее результата: успешная, неуспешная несанкционированная, идентификатор субъекта доступа, спецификация защищаемого объекта (логическое имя/номер);

должен  проводиться учет всех защищаемых носителей  информации с помощью их любой маркировки, учет защищаемых носителей должен проводиться в журнале (картотеке) с регистрацией их выдачи/приема;

должна  осуществляться очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей. Очистка осуществляется однократной произвольной записью в освобождаемую область памяти, ранее использованную для хранения защищаемых данных (файлов);

подсистема  обеспечения целостности:

должна  быть обеспечена целостность программных  средств СЗИ НСД, а также неизменность программной среды, при этом:

целостность СЗИ НСД проверяется при загрузке системы по контрольным суммам компонент  СЗИ,

целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и ( или ) хранения защищаемой информации;

должна  осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая контроль доступа в помещения АС посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения АС и хранилище носителей информации, особенно в нерабочее время;

должно  проводиться периодическое тестирование функций СЗИ НСД при изменении  программной среды и персонала АС с помощью тестпрограмм, имитирующих попытки НСД;

должны  быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение  двух копий программных средств  СЗИ НСД и их периодическое  обновление и контроль работоспособности. 

2.13. Требования  к классу защищенности 1В:

подсистема  управления доступом:

должна  осуществляться идентификация и  проверка подлинности субъектов  доступа при входе в систему  по идентификатору (коду) и паролю условно-постоянного  действия длиной не менее шести буквенно-цифровых символов;