Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации
2. Требования по защите информации от НСД для АС
2.1. Защита информации от НСД является составной частью общей проблемы обеспечения безопасности информации. Мероприятия по защите информации от НСД должны осуществляться взаимосвязано с мероприятиями по специальной защите основных и вспомогательных средств вычислительной техники, средств и систем связи от технических средств разведки и промышленного шпионажа.
2.2. В общем случае, комплекс программно-технических средств и организационных (процедурных) решений по защите информации от НСД реализуется в рамках системы защиты информации от НСД (СЗИ НСД), условно состоящей из следующих четырех подсистем:
- управления доступом;
- регистрации и учета;
- криптографической;
- обеспечения целостности.
2.3. В зависимости от класса АС в рамках этих подсистем должны быть реализованы требования в соответствии с пп.2.4, 2.7 и 2.10. Подробно эти требования сформулированы в пп.2.5, 2.6, 2.8, 2.9 и 2.11-2.15.
2.4. Требования к АС третьей группы
Обозначения:
"-" - нет требований к данному классу;
"+" - есть требования к данному классу.
Подсистемы и требования | Классы | |||
| 3Б | 3А | ||
1. Подсистема управления доступом | ||||
1.1. Идентификация, проверка подлинности и контроль доступа субъектов: | ||||
в систему | + | + | ||
к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ | - | - | ||
к программам | - | - | ||
к томам, каталогам, файлам, записям, полям записей | - | = | ||
1.2. Управление потоками информации | - | - | ||
2. Подсистема регистрации и учета | ||||
2.1. Регистрация и учет: | ||||
входа (выхода) субъектов доступа в (из) системы (узел сети) | + | + | ||
выдачи печатных (графических) выходных документов | - | + | ||
запуска (завершения) программ и процессов (заданий, задач) | - | - | ||
доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи | = | - | ||
доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устpoйствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей | - | - | ||
изменения полномочий субъектов доступа | - | - | ||
создаваемых защищаемых объектов доступа | - | - | ||
2.2. Учет носителей информации | + | + | ||
2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей | - | + | ||
2.4. Сигнализация попыток нарушения защиты | - | - | ||
3. Криптографическая подсистема | ||||
3.1. Шифрование конфиденциальной информации | - | - | ||
3.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах | - | - | ||
3.3. Использование аттестованных (сертифицированных) криптографических средств | - | = | ||
4. Подсистема обеспечения целостности | ||||
4.1. Обеспечение целостности программных средств и обрабатываемой информации | + | + | ||
4.2. Физическая охрана средств вычислительной техники и носителей информации | + | + | ||
4.3. Наличие администратора (службы) защиты информации в АС | - | - | ||
4.4. Периодическое тестирование СЗИ НСД | + | + | ||
4.5. Наличие средств восстановления СЗИ НСД | + | + | ||
4.6. Использование сертифицированных средств защиты | - | + | ||
2.5. Требования к классу защищенности 3Б:
Подсистема управления доступом:
- должны осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по паролю условно-постоянного действия, длиной не менее шести буквенно-цифровых символов.
Подсистема регистрации и учета:
- должна осуществляться регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС. В параметрах регистрации указываются:
дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы;
должен проводиться учет всех защищаемых носителей информации с помощью их любой маркировки и с занесением учетных данных в журнал (учетную карточку).
Подсистема обеспечения целостности:
- должна быть обеспечена целостность программных средств СЗИ НСД, обрабатываемой информации, а также неизменность программной среды. При этом:
целостность СЗИ НСД проверяется при загрузке системы по наличию имен (идентификаторов) компонент СЗИ;
целостность программной среды обеспечивается отсутствием в АС средств разработки и отладки программ;
- должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая контроль доступа в помещения АС посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения АС и хранилище носителей информации, особенно в нерабочее время;
- должно проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тест-программ, имитирующих попытки НСД;
- должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности.