Типовые требования по безопасности информации, предъявляемые к информационно-программным средствам
(с изменениями на 7 апреля 2020 года)
1. В техническое задание (далее - Требования) на создание (развитие) информационно-программных средств (далее - ИПС) требования по безопасности информации включаются в виде самостоятельного раздела, содержащего следующие подразделы:
(Пункт в редакции, введенной в действие приказом ФТС России от 7 апреля 2020 года N 361. - См. предыдущую редакцию)
1) общие требования по безопасности информации;
2) требования по управлению доступом и разграничению полномочий должностных лиц, работников таможенных органов, использующих ИПС в своей деятельности (далее - пользователи ИПС);
(Подпункт в редакции, введенной в действие приказом ФТС России от 8 июля 2016 года N 1356. - См. предыдущую редакцию)
3) требования по регистрации и учету работы пользователей ИПС;
4) требования по обеспечению целостности ИПС;
5) требования по интеграции с Доменной структурой единой службы каталогов (далее - ДС ЕСК) Единой автоматизированной информационной системы таможенных органов (далее - ЕАИС ТО);
6) требования по интеграции ИПС с сертифицированными средствами защиты информации, эксплуатируемыми в таможенных органах;
7) требования по сертификации ИПС;
8) требования по организации доступа ИПС к внешним информационным ресурсам;
9) требования по организации взаимодействия ИПС с ресурсами центральной базы данных (далее - ЦБД) ЕАИС ТО;
10) требования к резервному копированию информации.
Если в Требованиях какие-либо требования по безопасности информации к ИПС не предъявлялись, то в документации на ИПС в соответствующих подразделах необходимо отражать, что эти требования не предъявлялись и в ИПС не реализованы.
(Абзац в редакции, введенной в действие приказом ФТС России от 7 апреля 2020 года N 361. - См. предыдущую редакцию)
2. Общие требования по безопасности информации конкретизируются с учетом предметной области и специфики применения ИПС. В данный подраздел включаются следующие сведения:
1) перечень обрабатываемой информации, защищаемых ресурсов и уровень их конфиденциальности;
2) характеристики обрабатываемых персональных данных;
3) перечень категорий пользователей ИПС;
4) профили и полномочия ролевого доступа пользователей ИПС (матрица доступа);
5) предложения по классам защищенности и классам информационных систем персональных данных;
6) организация защиты идентификационной информации (паролей, параметров доступа с использованием логинов и паролей, технологических идентификаторов для связи с иными системами) в ИПС (при ее наличии).
3. Требования по управлению доступом и разграничению полномочий пользователей ИПС включают реализацию следующих функций: идентификации и аутентификации пользователя ИПС; контроля доступа к модулям (функциям) ИПС; идентификации рабочих станций, серверов и другого сетевого оборудования по IP, МАС-адресам и именам в ДС ЕСК ЕАИС ТО.
Для ИПС должен быть приведен полный перечень ролей доступа пользователей ИПС с развернутым списком предоставляемых прав (матрица доступа).
Идентификация и аутентификация пользователя ИПС должна осуществляться при запуске основного (основных) исполняемого модуля ИПС. Пользователю не должны быть доступны функции ИПС, пока он успешно не пройдет проверку подлинности. Идентификация и аутентификация пользователя осуществляется с использованием персонального средства идентификации и аутентификации или идентификатора пользователя и средства защиты информации (далее - СЗИ) от несанкционированных действий (далее - НСД), установленного на рабочей станции пользователя. При отсутствии персонального средства идентификации и аутентификации, СЗИ от НСД идентификация и аутентификация пользователя должны осуществляться с использованием идентификатора пользователя и пароля условно-постоянного действия длиной не менее шести буквенно-цифровых символов.
Функция контроля доступа к функциям ИПС предназначена для разграничения полномочий пользователей ИПС. Контроль доступа должен быть реализован на основе ролевой модели разграничения доступа. В ИПС должны быть предусмотрены роли, которые определяются исходя из функций ИПС. Каждой системной роли может соответствовать законченный программный модуль, в котором реализована определенная совокупность функций. Набор и содержание ролей должны быть определены на этапе проектирования ИПС Исполнителем и не могут быть изменены администратором ИПС. Роли назначаются конкретным пользователям ИПС в зависимости от их функциональных обязанностей администратором ИПС.