 |
Структураи составные части ИБОООмС-3
|
|
|
|
4.1.1.1. ИБОООмС-3 должна состоять:
- из CRM, разворачиваемой в отделе бухгалтерии;
- организационного обеспечения;
- нормативно-правового обеспечения;
- прикладного программного обеспечения (ППО);
- комплекса технических средств (КТС);
- информационного обеспечения (ИО).
4.1.1.3. ППО должно состоять из подсистем, соответствующих классу защищенности 2А.
4.1.2. Требования к способам и средствам защиты связи
для информационного обмена
4.1.2.1. На транспортном и сетевом уровнях взаимодействия (по семиуровневой модели OSI ГОСТ Р ИСО/МЭК 7498) должен использоваться стандартизованный стек протоколов TCP/IP.
4.1.2.2. Канальный и физический уровень взаимодействия должны реализовываться средствами локальных сетей пользователя и Интернет.
Требования к режимам функционирования ИБОООмС
Должно быть обеспечено функционирование СИБ Д в следующих режимах:
· штатный режим (режим работы, обеспечивающий выполнение пользователями своих функциональных обязанностей);
· сервисный режим (для проведения обслуживания, реконфигурации и пополнения новыми компонентами);
· аварийный режим.
4.2. Требования к численности и квалификации персонала системы и режиму его работы:
Персонал ИБОООмС-3 должен состоять: - из пользователей ИБОООмС-3; - администратора ИБОООмС-3. 4.3. Требования к показателям назначения:
4.4. Требования к надежности:
4.4.1. Требования к надежности АИС УБП-2 устанавливаются для следующих составных частей системы:
- подсистем;
- КТС.
4.4.2. СИБ Д должна проектироваться как обслуживаемое восстанавливаемое изделие многократного применения (ГОСТ 27.003-90).
4.4.3. Оценка надежности системы должна проводиться с использованием основных показателей надежности (ГОСТ 24.701-86 и ГОСТ 27.003-90).
|
|
|
Требования безопасности
Программно-аппаратные средства ИБОООмС-3 должны обеспечивать безопасность обслуживающего персонала при эксплуатации, техническом обслуживании и ремонте с учетом требований ГОСТ 21552-84, ГОСТ 25861-83.
Электробезопасность должна соответствовать требованиям ГОСТ 12.1.030-81, ГОСТ 12.2.003, ГОСТ 12.2.007.0-75 и ГОСТ 12.2.007.13-2000.
Технические средства должны отвечать действующей системе Государственных стандартов безопасности труда и иметь сертификаты по электробезопасности и электромагнитной безопасности.
4.6. Требования к эргономике и технической эстетике: <отсутствуют>
4.7. Требования к эксплуатации, техническому обслуживанию, ремонту и хранению комплектов системы:
4.7.1. Эксплуатация ИБОООмС-3 должна производиться в соответствии с эксплуатационной документацией и Регламентом технического обслуживания.
4.7.2. Обслуживание ИБОООмС-3 должно производиться администратором информационной безопасности.
4.7.3. Допускается использование специализированных служб или подразделений на объектах внедрения для обслуживания и ремонта оборудования.
4.8. Требования к эксплуатации: <отсутствуют>
4.9. Требования к защите информации от несанкционированного доступа:
4.9.1. ИБОООмС-3 должны соответствовать требованиям класса 2А "Классификации автоматизированных систем и требования по защите информации" в соответствии с РД Гостехкомиссии.
4.9.2. Кроме технических мер должны применяться организационные меры защиты информации.
4.9.3. ИБОООмС-3 должна предоставлять средства аутентификации, авторизации, защиты целостности информации и защиты от атак.
Требования по сохранности информации при авариях
4.10.1. Должна быть обеспечена сохранность информации при авариях. 4.10.2. Должны быть предусмотрены средства для резервного копирования информации. В состав эксплуатационной документации должен входить регламент, определяющий процедуры резервного копирования, восстановления данных и программного обеспечения.
|
|
|
4.11. Требования к патентной чистоте: <отсутствуют>
4.12. Требования к стандартизации и унификации: <отсутствуют>
Требования к функциям
5.1. Подсистема управления доступом:
· должны осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов;
· должна осуществляться идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по их логическим адресам (номерам);
· должна осуществляться идентификация программ, томов, каталогов, файлов, записей, полей записей по именам;
· должно осуществляться управление потоками информации с помощью меток конфиденциальности. При этом уровень конфиденциальности накопителей должен быть не ниже уровня конфиденциальности записываемой на них информации.
5.2. Подсистема регистрации и учета:
Должна осуществляться регистрация входа (выхода) субъектов доступа в систему (из системы). Регистрация выхода из системы или остановка не проводится в моменты аппаратурного отключения АС. В параметрах регистрации указываются:
· дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы;
· результат попытки входа: успешная или неуспешная (при НСД);
· идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа;
Должна осуществляться регистрация выдачи печатных (графических) документов на "твердую" копию. Выдача должна сопровождаться автоматической маркировкой каждого листа (страницы) документа порядковым номером и учетными реквизитами АС с указанием на последнем листе документа общего количества листов (страниц). В параметрах регистрации указываются:
· дата и время выдачи (обращения к подсистеме вывода);
· спецификация устройства выдачи [логическое имя (номер) внешнего устройства], краткое содержание (наименование, вид, шифр, код) и уровень конфиденциальности документа;
· идентификатор субъекта доступа, запросившего документ;
|
|
|
Должна осуществляться регистрация запуска (завершения) программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов. В параметрах регистрации CRM должны указываться:
· дата и время запуска;
· имя (идентификатор) программы (процесса, задания);
· идентификатор субъекта доступа, запросившего программу (процесс, задание);
· результат запуска (успешный, неуспешный – несанкционированный);
Должна осуществляться регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам. В параметрах регистрации должны указываться:
· дата и время попытки доступа к защищаемому файлу с указанием ее результата: успешная, неуспешная – несанкционированная,
· идентификатор субъекта доступа;
· спецификация защищаемого файла.
Должна осуществляться регистрация попыток доступа программных средств к следующим дополнительным защищаемым объектам доступа: ПК, узлам сети, линиям (каналам) связи, внешним устройствам, программам, томам, каталогам, файлам, записям, полям записей.
В параметрах регистрации должны указываться:
· дата и время попытки доступа к защищаемому объекту с указанием ее результата: успешная, неуспешная – несанкционированная;
· идентификатор субъекта доступа;
· спецификация защищаемого объекта [логическое имя (номер)];
Должен осуществляться автоматический учет создаваемых защищаемых файлов с помощью их дополнительной маркировки, используемой в подсистеме управления доступом. Маркировка должна отражать уровень конфиденциальности объекта;
Должно проводиться несколько видов учета (дублирующих) защищаемых носителей информации;
5.3. Криптографическая подсистема:
– должно осуществляться шифрование всей информации, записываемой на совместно используемые различными субъектами доступа (разделяемые) носители данных, в каналах связи, а также на съемные носители данных долговременной внешней памяти для хранения за пределами сеансов работы санкционированных субъектов доступа. При этом должны выполняться автоматическое освобождение и очистка областей внешней памяти, содержавших ранее незашифрованную информацию;
|
|
|
– доступ субъектов к операциям шифрования и криптографическим ключам должен дополнительно контролироваться подсистемой управления доступом.
5.4. Подсистема обеспечения целостности:
– должна быть обеспечена целостность программных средств СЗИ НСД, обрабатываемой информации, а также неизменность программной среды. При этом:
– целостность СЗИ НСД проверяется при загрузке системы по наличию имен (идентификаторов) компонент СЗИ;
– целостность программной среды обеспечивается отсутствием в АС средств разработки и отладки программ;
– должны осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая постоянное наличие охраны территории и здания, где размещается АС, с помощью видеонаблюдения, использование строгого пропускного режима, специальное оборудование помещений АС;
– должен быть предусмотрен администратор (служба) защиты информации, ответственный за ведение, нормальное функционирование и контроль работы СЗИ НСД;
– должно проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тест - программ, имитирующих попытки НСД;
– должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности;
– должны использоваться сертифицированные средства защиты.
|
|
|
