6 Требования к методам защиты от несанкционированного доступа к информации Федеральной системы каталогизации продукции для федеральных государственных нужд
6.1 Мероприятия, осуществляемые организациями - участниками ФСКП по защите информации от несанкционированного доступа, должны соответствовать требованиям ГОСТ Р 50739.
6.2 В качестве нарушителя правил доступа к информационным ресурсам ФСКП должен рассматриваться субъект (физическое или юридическое лицо), получивший доступ к работе со штатными программно-техническими средствами ФСКП без разрешения, оформленного в установленном порядке.
6.3 Организация, которой в установленном порядке поручено разрабатывать и вести информационный ресурс ФСКП, должна сформулировать, документировать и в установленном порядке утвердить модель нарушителя автоматизированного банка данных и телекоммуникационных сетей ФСКП.
Модель нарушителя должна учитывать следующие уровни возможностей потенциального нарушителя:
первый уровень - возможность запуска программ из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации;
второй уровень - возможность создания и запуска собственных программ с новыми функциями по обработке информации;
третий уровень - возможность управления функционированием автоматизированной базы данных ФСКП с воздействием на базовое программное обеспечение, состав и конфигурацию программно-технического комплекса;
четвертый уровень - возможности лиц, осуществляющих разработку, реализацию и ремонт технических средств программно-технического комплекса ФСКП, включать собственные технические средства с дополнительными функциями по обработке информации.
6.4 Основными способами несанкционированного доступа к информационным ресурсам ФСКП являются:
- непосредственное обращение к информационным ресурсам;
- создание программных средств, позволяющих получать доступ к информационным ресурсам, минуя средства защиты;
- создание технических средств, позволяющих получать доступ к информационным ресурсам, минуя средства защиты;
- модификация используемых в ФСКП средств защиты, позволяющая получать несанкционированный доступ к информационным ресурсам;
- внедрение в программно-технический комплекс ФСКП программных или технических средств, нарушающих его установленную структуру и функции и позволяющих получать доступ к информационным ресурсам.
6.5 Защита от несанкционированного доступа должна осуществляться по следующим направлениям:
- разграничение доступа субъектов к программно-техническому комплексу и информационным ресурсам ФСКП;
- применение технических и программных средств разграничения доступа.
6.6 Разграничение доступа субъектов к программно-техническому комплексу и информационным ресурсам ФСКП должно осуществляться следующими способами:
- разработкой и реализацией правил разграничения доступа субъектов к информационным ресурсам;
- разработкой и реализацией правил разграничения доступа субъектов к устройствам создания твердых копий документов;
- изоляцией программ, выполняемых в интересах субъекта, от других субъектов.
6.7 Средства разграничения доступа субъектов к программно-техническому комплексу и информационным ресурсам ФСКП должны реализовывать следующие основные функции:
- идентификацию и опознавание субъекта и поддержание соответствия субъекта и процесса, выполняемого для данного субъекта;
- регистрацию действий субъекта и его процесса;
- предоставление возможностей исключения и включения новых субъектов и объектов доступа, а также изменение полномочий субъектов;
- реакцию на попытки несанкционированного доступа, включая сигнализацию, блокирование, восстановление после несанкционированного доступа и др.;
- тестирование программных и технических средств;