Типовые требования по безопасности информации, предъявляемые к программным средствам информационных систем и информационных технологий таможенных органов
1. В техническое задание (ТЗ) на создание (модернизацию) программных средств информационных систем и информационных технологий таможенных органов (далее - ПС) требования по безопасности информации включаются в виде самостоятельного раздела, содержащего следующие подразделы:
общие требования по безопасности информации;
требования по управлению доступом и разграничению полномочий пользователей;
требования по регистрации и учету работы пользователей;
требования по обеспечению целостности ПС;
требования по интеграции с Доменной структурой единой службы каталогов (далее - ДС ЕСК) ЕАИС таможенных органов;
требования по интеграции ПС с сертифицированными средствами защиты информации, эксплуатируемыми в таможенных органах;
требования по сертификации ПС;
требования по организации доступа ПС к внешним информационным ресурсам;
требования по организации взаимодействия ПС с ресурсами центральной базы данных (ЦБД) ЕАИС таможенных органов;
требования к резервному копированию информации.
Если в ТЗ какие-либо требования по безопасности информации к ПС не предъявлялись, то в сопроводительной документации на ПС в соответствующих подразделах необходимо отражать, что эти требования не предъявлялись и в ПС не реализованы.
2. Общие требования по безопасности информации конкретизируются с учетом предметной области и специфики применения ПС. В данный подраздел включаются следующие сведения:
перечень обрабатываемой информации, защищаемых ресурсов и уровень их конфиденциальности;
характеристики обрабатываемых персональных данных;
перечень категорий должностных лиц таможенных органов, для автоматизации деятельности которых предназначено создаваемое (модернизируемое) ПС;
профили и полномочия ролевого доступа пользователей (матрица доступа);
предложения по классам защищенности и классам информационных систем персональных данных;
организацию защиты идентификационной информации (паролей, параметров доступа с использованием логинов и паролей, технологические идентификаторы для связи с иными системами) информации в ПС (при ее наличии в системе).
3. Требования по управлению доступом и разграничению полномочий пользователей включают реализацию следующих функций: идентификации и аутентификации пользователя; контроля доступа к модулям (функциям) ПС; идентификации рабочих станций, серверов и другого сетевого оборудования по IP, МАС-адресам и именам в ДС ЕСК ЕАИС таможенных органов. Для ПС должен быть приведен полный перечень ролей доступа: пользователей ПС с развернутым списком предоставляемых прав (матрица доступа).
Идентификация и аутентификация пользователя должна осуществляться при запуске основного (основных) исполняемого модуля ПС. Пользователю не должны быть доступны функции ПС, пока он успешно не пройдет проверку подлинности. Идентификация и аутентификация пользователя осуществляется с использованием персонального средства идентификации и аутентификации, или идентификатора пользователя, и средства защиты информации (СЗИ) от несанкционированных действий (НСД), установленного на рабочей станции пользователя. При отсутствии персонального средства идентификации и аутентификации, СЗИ от НСД идентификация и аутентификация пользователя должны осуществляться с использованием идентификатора, пользователя и пароля условно-постоянного действия длиной не менее шести буквенно-цифровых символов.
Функция контроля доступа к модулям (функциям) ПС предназначена для разграничения полномочий пользователей к функциональным возможностям ПС. Контроль доступа должен быть реализован на основе ролевой модели разграничения доступа. В ПС должны быть предусмотрены роли, которые определяются функциональным составом ПС. Каждой системной роли может соответствовать законченный программный модуль, в котором реализована определенная совокупность функций. Набор и содержание ролей должны быть определены при техническом проектировании разработчиком и не могут быть изменены администратором системы. Роли назначаются администратором ПС конкретным пользователям в зависимости от их функциональных обязанностей.
4. Требования по регистрации и учету работы пользователей включают:
регистрацию пользователя и администратора в системе;
регистрацию действий пользователя и администратора в системе с момента старта основного исполняемого файла до момента завершения работы.
К параметрам, подлежащим регистрации, относятся: дата и время, идентификатор пользователя (администратора) ПС, идентификатор пользователя (администратора) операционной системы (ОС), IP-адрес рабочей станции пользователя, код и описание типа события, объекты события (функциональная операция, имя распечатываемого файла и т.д.).
Перечень регистрируемых событий конкретизируется разработчиком на этапе технического проектирования и приводится в техническом проекте. Параметры регистрации или типа событий не могут быть изменены администратором или пользователем ПС.