ГОСТ Р 51725.6-2002 Каталогизация продукции для федеральных государственных нужд. Сети телекоммуникационные и базы данных. Требования информационной безопасности

     6 Требования к методам защиты от несанкционированного доступа к информации Федеральной системы каталогизации продукции для федеральных государственных нужд

6.1 Мероприятия, осуществляемые организациями - участниками ФСКП по защите информации от несанкционированного доступа, должны соответствовать требованиям ГОСТ Р 50739.

6.2 В качестве нарушителя правил доступа к информационным ресурсам ФСКП должен рассматриваться субъект (физическое или юридическое лицо), получивший доступ к работе со штатными программно-техническими средствами ФСКП без разрешения, оформленного в установленном порядке.

6.3 Организация, которой в установленном порядке поручено разрабатывать и вести информационный ресурс ФСКП, должна сформулировать, документировать и в установленном порядке утвердить модель нарушителя автоматизированного банка данных и телекоммуникационных сетей ФСКП.

Модель нарушителя должна учитывать следующие уровни возможностей потенциального нарушителя:

первый уровень - возможность запуска программ из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации;

второй уровень - возможность создания и запуска собственных программ с новыми функциями по обработке информации;

третий уровень - возможность управления функционированием автоматизированной базы данных ФСКП с воздействием на базовое программное обеспечение, состав и конфигурацию программно-технического комплекса;

четвертый уровень - возможности лиц, осуществляющих разработку, реализацию и ремонт технических средств программно-технического комплекса ФСКП, включать собственные технические средства с дополнительными функциями по обработке информации.

6.4 Основными способами несанкционированного доступа к информационным ресурсам ФСКП являются:

- непосредственное обращение к информационным ресурсам;

- создание программных средств, позволяющих получать доступ к информационным ресурсам, минуя средства защиты;

- создание технических средств, позволяющих получать доступ к информационным ресурсам, минуя средства защиты;

- модификация используемых в ФСКП средств защиты, позволяющая получать несанкционированный доступ к информационным ресурсам;

- внедрение в программно-технический комплекс ФСКП программных или технических средств, нарушающих его установленную структуру и функции и позволяющих получать доступ к информационным ресурсам.

6.5 Защита от несанкционированного доступа должна осуществляться по следующим направлениям:

- разграничение доступа субъектов к программно-техническому комплексу и информационным ресурсам ФСКП;

- применение технических и программных средств разграничения доступа.

6.6 Разграничение доступа субъектов к программно-техническому комплексу и информационным ресурсам ФСКП должно осуществляться следующими способами:

- разработкой и реализацией правил разграничения доступа субъектов к информационным ресурсам;

- разработкой и реализацией правил разграничения доступа субъектов к устройствам создания твердых копий документов;

- изоляцией программ, выполняемых в интересах субъекта, от других субъектов.

6.7 Средства разграничения доступа субъектов к программно-техническому комплексу и информационным ресурсам ФСКП должны реализовывать следующие основные функции:

- идентификацию и опознавание субъекта и поддержание соответствия субъекта и процесса, выполняемого для данного субъекта;

- регистрацию действий субъекта и его процесса;

- предоставление возможностей исключения и включения новых субъектов и объектов доступа, а также изменение полномочий субъектов;

- реакцию на попытки несанкционированного доступа, включая сигнализацию, блокирование, восстановление после несанкционированного доступа и др.;

- тестирование программных и технических средств;