На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Требования к защите конфиденциальной информации

Подсистема управления доступом должна удовлетворять следующим тре­бованиям:
Идентифицировать и проверять подлинность субъектов доступа при входе в систему. Причем это должно осуществляться по идентифи­катору (коду) и паролю условно-постоянного действия длиной не
менее шести буквенно-цифровых символов.
2. Идентифицировать терминалы, ЭВМ, узлы компьютерной сети, ка­налы связи, внешние устройства ЭВМ по их логическим адресам (номерам).
3. По именам идентифицировать программы, тома, каталоги, файлы, записи и поля записей.
4. Осуществлять контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа.
Подсистема регистрации и учета должна:
1. Регистрировать вход (выход) субъектов доступа в систему (из систе­мы), либо регистрировать загрузку и инициализацию операцион­ной системы и ее программного останова. При этом в параметрах регистрации указываются:
• дата и время входа (выхода) субъекта доступа в систему (из сис­темы) или загрузки (останова) системы;
• результат попытки входа — успешная или неуспешная (при НСД);
• идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа;
• код или пароль, предъявленный при неуспешной попытке.
Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС.
2. Регистрировать выдачу печатных (графических) документов на «твер­дую» копию. При этом в параметрах регистрации указываются:
• дата и время выдачи (обращения к подсистеме вывода);
• краткое содержание документа (наименование, вид, код, шифр) и
уровень его конфиденциальности;
• спецификация устройства выдачи (логическое имя (номер) внеш­него устройства);
• идентификатор субъекта доступа, запросившего документ.
3. Регистрировать запуск (завершение) программ и процессов (зада­ний, задач), предназначенных для обработки защищаемых файлов.
При этом в параметрах регистрации указывается:
• дата и время запуска;
• имя (идентификатор) программы (процесса, задания);
• идентификатор субъекта доступа, запросившего программу (про­цесс, задание);
• результат запуска (успешный, неуспешный — несанкциониро­ванный).
4. Регистрировать попытки доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам. В параметрах регистрации указывается:
• дата и время попытки доступа к защищаемому файлу с указанием
ее результата (успешная, неуспешная — несанкционированная);
• идентификатор субъекта доступа;
• спецификация защищаемого файла.
5. Регистрировать попытки доступа программных средств к следую­щим дополнительным защищаемым объектам доступа: терминалам, ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устрой-
ствам ЭВМ, программам, томам, каталогам, файлам, записям, по­лям записей. При этом в параметрах регистрации указывается:
• дата и время попытки доступа кзащишаемому файлу с указанием ее результата: успешная, неуспешная, несанкционированная;
• идентификатор субъекта доступа;
• спецификация защищаемого объекта [логическое имя (номер)].
6. Проводить учет всех защищаемых носителей информации с помо­щью их маркировки и с занесением учетных данных в журнал
(учетную карточку).
7. Регистрировать выдачу (приемку) защищаемых носителей.
8. Осуществлять очистку (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей. При
этом очистка должна производиться однократной произвольной за­писью в освобождаемую область памяти, ранее использованную для хранения защищаемых данных (файлов).
Подсистема целостности должна:
1. Обеспечивать целостность программных средств системы запщгы информации от НСД (СЗИ НСД), обрабатываемой информации, а также неизменность программной среды. При этом:
• целостность СЗИ НСД проверяется при загрузке системы по кон­трольным суммам компонент СЗИ;
• целостность программной среды обеспечивается использованием трансляторов с языка высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и
(или) хранения защищаемой информации.
2. Осуществлять физическую охрану СВТ (устройств и носителей ин­формации). При этом должны предусматриваться контроль доступа в помещение АС посторонних лиц, а также наличие надежных препят­ствий для несанкционированного проникновения в помещение АС и
хранилище носителей информации. Особенно в нерабочее время.
3. Проводить периодическое тестирование функций СЗИ НСД при
изменении программной среды и персонала АС с помощью тест-программ, имитирующих попытки НСД.
4. Иметь в наличии средства восстановления СЗИ НСД. При этом пре­дусматривается ведение двух копий программных средств СЗИ НСД,
а также их периодическое обновление и контроль работоспособности.
Требования к защите секретной информации
Подсистема управления доступом должна:
1. Идентифицировать и проверять подлинность субъектов доступа при входе в систему. Причем это должно осуществляться по идентифи­катору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов.
2. Идентифицировать терминалы, ЭВМ, узлы компьютерной сети, ка­налы связи, внешние устройства ЭВМ по их логическим адресам
(номерам).
3. По именам идентифицировать программы, тома, каталоги, файлы, записи и поля записей.
4. Осуществлять контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа.
5. Управлять потоками информации с помощью меток конфиденци­альности. При этом уровень конфиденциальности накопителя дол­жен быть не ниже уровня конфиденциальности записываемой на него информации.
Подсистема регистрации и учета должна:
1. Регистрировать вход (выход) субъектов доступа в систему (из систе­мы) либо регистрировать загрузку и инициализацию операционной системы и ее программного останова. При этом в параметрах реги­страции указываются:
• дата и время входа (выхода) субъекта доступа в систему (из сис­темы) или загрузки (останова) системы;
• результат попытки входа — успешная или неуспешная (приНСД);
• идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа;
• код или пароль, предъявленный при неуспешной попытке.
Регистрация выхода из системы или останова не проводится в мо­менты аппаратурного отключения АС.
2. Регистрировать выдачу печатных (графических) документов на «твер­дую» копию. Выдача должна сопровождаться автоматической мар­кировкой каждого листа (страницы) документа порядковым номе­ром и учетными реквизитами АС с указанием на последнем листе документа общего количества страниц. В параметрах регистрации указываются:
• дата и время выдачи (обращения к подсистеме вывода);
• краткое содержание документа (наименование, вид, код, шифр) и
уровень его конфиденциальности;
23
Часть I. Компьютерная безопасность: современные требования, подходы, статистика угроз
• спецификация устройства выдачи (логическое имя (номер) внеш­него устройства);
• идентификатор субъекта доступа, запросившего документ;
• объем фактически выданного документа (количество страниц, ли­стов, копий) и результат выдачи (успешный — весь объем, неус­пешный).
3. Регистрировать запуск (завершение) программ и процессов (зада­ний, задач), предназначенных для обработки защищаемых файлов. В параметрах регистрации указывается:
• дата и время запуска;
• имя (идентификатор) программы (процесса, задания);
• идентификатор субъекта доступа, запросившего программу (про­цесс, задание);
• результат запуска (успешный, неуспешный - - несанкциониро­ванный).
4. Регистрировать попытки доступа программных средств (программ,
процессов, задач, заданий) к защищаемым файлам. В параметрах регистрации указывается:
• дата и время попытки доступа к защищаемому файлу с указанием
ее результата: (успешная, неуспешная — несанкционированная);
• идентификатор субъекта доступа;
• спецификация защищаемого файла;
• имя программы (процесса, задания, задачи), осуществляющих до­ступ к файлам;
• вид запрашиваемой операции (чтение, запись, удаление, выпол­нение, расширение и т.п.).
5. Регистрировать попытки доступа программных средств к следую­щим дополнительным защищаемым объектам доступа: терминалам,
ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устрой­ствам ЭВМ, программам, томам, каталогам, файлам, записям, по­лям записей. В параметрах регистрации указывается:
• дата и время попытки доступа к защищаемому файлу с указанием
ее результата (успешная, неуспешная — несанкционированная);
• идентификатор субъекта доступа;
• спецификация защищаемого объекта [логическое имя (номер)];
• имя программы (процесса, задания, задачи), осуществляющих до­ступ к файлам;
• вид запрашиваемой операции (чтение, запись, монтирование, захват и т.п.).
6. Регистрировать изменения полномочий субъектов доступа, а также статуса объектов доступа. В параметрах регистрации указывается:
• дата и время изменения полномочий;
• идентификатор субъекта доступа (администратора), осуществив­шего изменения.
7. Осуществлять автоматический учет создаваемых защищаемых фай­лов с помощью их дополнительной маркировки, используемой в подсистеме управления доступом. Маркировка должна отражать
уровень конфиденциальности объекта.
8. Проводить учет всех защищаемых носителей информации с помо­щью их маркировки и с занесением учетных данных в журнал
(учетную карточку).
9. Проводить учет защищаемых носителей с регистрацией их выдачи
(приема) в специальном журнале (картотеке).
10. Проводить несколько видов учета (дублирующих) защищаемых но­сителей информации.
11. Осуществлять очистку (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей. При­чем очистка должна осуществляется двукратной произвольной за­писью в освобождаемую область памяти, ранее использованную для хранения защищаемых данных (файлов).
12. Сигнализировать о попытках нарушения защиты.
Подсистема обеспечения целостности должна:
1. Обеспечивать целостность программных средств СЗИ НСД, обра­батываемой информации, а также неизменность программной среды.
При этом:
• целостность СЗИ НСД проверяется при загрузке системы по кон­трольным суммам компонент СЗИ;
• целостность программной среды обеспечивается использованием трансляторов с языка высокого уровня и отсутствием средств
модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации.
2. Осуществлять физическую охрану СВТ (устройств и носителей ин­формации). При этом должно предусматриваться постоянное наличие охраны на территории здания и помещений, где находится АС. Охра­на должна производиться с помощью технических средств охраны и специального персонала, а также с использованием строгого пропуск­ного режима и специального оборудования в помещении АС.
3. Предусматривать наличие администратора или целой службы защи­ты информации, ответственных за ведение, нормальное функцио­нирование и контроль работы СЗИ НСД. Администратор должен
иметь свой терминал и необходимые средства оперативного конт­роля и воздействия на безопасность АС.
4. Проводить периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью специ­альных программных средств не реже одного раза в год.
5. Иметь в наличии средства восстановления СЗИ НСД, предусматри­вающие ведение двух копий программных средств СЗИ НСД и их
периодическое обновление и контроль работоспособности.
6. Использовать только сертифицированные средства защиты. Их сер­тификацию проводят специальные сертификационные центры или
специализированные предприятия, имеющие лицензию на прове­дение сертификации средств защиты СЗИ НСД.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика