Недействующий

Об утверждении Порядка организации процессов жизненного цикла программных средств информационных систем и информационных технологий таможенных органов (с изменениями на 3 февраля 2014 года) (утратил силу на основании приказа ФТС России от 13.03.2015 N 423)

Приложение N 1
к Порядку организации
процессов жизненного цикла
программных средств информационных
систем и информационных технологий
таможенных органов

     
Типовые требования по безопасности информации, предъявляемые к программным средствам информационных систем и информационных технологий таможенных органов



1. В техническое задание (ТЗ) на создание (модернизацию) программных средств информационных систем и информационных технологий таможенных органов (далее - ПС) требования по безопасности информации включаются в виде самостоятельного раздела, содержащего следующие подразделы:

общие требования по безопасности информации;

требования по управлению доступом и разграничению полномочий пользователей;

требования по регистрации и учету работы пользователей;

требования по обеспечению целостности ПС;

требования по интеграции с Доменной структурой единой службы каталогов (далее - ДС ЕСК) ЕАИС таможенных органов;

требования по интеграции ПС с сертифицированными средствами защиты информации, эксплуатируемыми в таможенных органах;

требования по сертификации ПС;

требования по организации доступа ПС к внешним информационным ресурсам;

требования по организации взаимодействия ПС с ресурсами центральной базы данных (ЦБД) ЕАИС таможенных органов;

требования к резервному копированию информации.

Если в ТЗ какие-либо требования по безопасности информации к ПС не предъявлялись, то в сопроводительной документации на ПС в соответствующих подразделах необходимо отражать, что эти требования не предъявлялись и в ПС не реализованы.

2. Общие требования по безопасности информации конкретизируются с учетом предметной области и специфики применения ПС. В данный подраздел включаются следующие сведения:

перечень обрабатываемой информации, защищаемых ресурсов и уровень их конфиденциальности;

характеристики обрабатываемых персональных данных;

перечень категорий должностных лиц таможенных органов, для автоматизации деятельности которых предназначено создаваемое (модернизируемое) ПС;

профили и полномочия ролевого доступа пользователей (матрица доступа);

предложения по классам защищенности и классам информационных систем персональных данных;

организацию защиты идентификационной информации (паролей, параметров доступа с использованием логинов и паролей, технологические идентификаторы для связи с иными системами) информации в ПС (при ее наличии в системе).

3. Требования по управлению доступом и разграничению полномочий пользователей включают реализацию следующих функций: идентификации и аутентификации пользователя; контроля доступа к модулям (функциям) ПС; идентификации рабочих станций, серверов и другого сетевого оборудования по IP, МАС-адресам и именам в ДС ЕСК ЕАИС таможенных органов. Для ПС должен быть приведен полный перечень ролей доступа: пользователей ПС с развернутым списком предоставляемых прав (матрица доступа).

Идентификация и аутентификация пользователя должна осуществляться при запуске основного (основных) исполняемого модуля ПС. Пользователю не должны быть доступны функции ПС, пока он успешно не пройдет проверку подлинности. Идентификация и аутентификация пользователя осуществляется с использованием персонального средства идентификации и аутентификации, или идентификатора пользователя, и средства защиты информации (СЗИ) от несанкционированных действий (НСД), установленного на рабочей станции пользователя. При отсутствии персонального средства идентификации и аутентификации, СЗИ от НСД идентификация и аутентификация пользователя должны осуществляться с использованием идентификатора, пользователя и пароля условно-постоянного действия длиной не менее шести буквенно-цифровых символов.

Функция контроля доступа к модулям (функциям) ПС предназначена для разграничения полномочий пользователей к функциональным возможностям ПС. Контроль доступа должен быть реализован на основе ролевой модели разграничения доступа. В ПС должны быть предусмотрены роли, которые определяются функциональным составом ПС. Каждой системной роли может соответствовать законченный программный модуль, в котором реализована определенная совокупность функций. Набор и содержание ролей должны быть определены при техническом проектировании разработчиком и не могут быть изменены администратором системы. Роли назначаются администратором ПС конкретным пользователям в зависимости от их функциональных обязанностей.

4. Требования по регистрации и учету работы пользователей включают:

регистрацию пользователя и администратора в системе;

регистрацию действий пользователя и администратора в системе с момента старта основного исполняемого файла до момента завершения работы.

К параметрам, подлежащим регистрации, относятся: дата и время, идентификатор пользователя (администратора) ПС, идентификатор пользователя (администратора) операционной системы (ОС), IP-адрес рабочей станции пользователя, код и описание типа события, объекты события (функциональная операция, имя распечатываемого файла и т.д.).

Перечень регистрируемых событий конкретизируется разработчиком на этапе технического проектирования и приводится в техническом проекте. Параметры регистрации или типа событий не могут быть изменены администратором или пользователем ПС.