Требования к защите секретной информации (без слайдов)
Подсистема управления доступом должна: 1. Идентифицировать и проверять подлинность субъектов доступа при входе в систему. Причем это должно осуществляться по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов. 2. Идентифицировать терминалы, ЭВМ, узлы компьютерной сети, каналы связи, внешние устройства ЭВМ по их логическим адресам (номерам). 3. По именам идентифицировать программы, тома, каталоги, файлы, записи и поля записей. 4. Осуществлять контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа. 5. Управлять потоками информации с помощью меток конфиденциальности. При этом уровень конфиденциальности накопителя должен быть не ниже уровня конфиденциальности записываемой на него информации.
Подсистема регистрации и учета должна: 1. Регистрировать вход (выход) субъектов доступа в систему (из системы) либо регистрировать загрузку и инициализацию операционной системы и ее программного останова. При этом в параметрах регистрации указываются: • дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы; • результат попытки входа — успешная или неуспешная (при НСД); • идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа; • код или пароль, предъявленный при неуспешной попытке. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС. 2. Регистрировать выдачу печатных (графических) документов на твердую≫ копию. Выдача должна сопровождаться автоматической маркировкой каждого листа (страницы) документа порядковым номером и учетными реквизитами АС с указанием на последнем листе документа общего количества страниц. В параметрах регистрации указываются: • дата и время выдачи (обращения к подсистеме вывода); • краткое содержание документа (наименование, вид, код, шифр) и уровень его конфиденциальности; спецификация устройства выдачи (логическое имя (номер) внешнего устройства); • идентификатор субъекта доступа, запросившего документ; • объем фактически выданного документа (количество страниц, листов, копий) и результат выдачи (успешный — весь объем, неуспешный). 3. Регистрировать запуск (завершение) программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов. В параметрах регистрации указывается: • дата и время запуска; • имя (идентификатор) программы (процесса, задания); • идентификатор субъекта доступа, запросившего программу (процесс, задание); • результат запуска (успешный, неуспешный - несанкционированный). 4. Регистрировать попытки доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам. В параметрах регистрации указывается: • дата и время попытки доступа к защищаемому файлу с указанием ее результата: (успешная, неуспешная — несанкционированная); • идентификатор субъекта доступа; • спецификация защищаемого файла; • имя программы (процесса, задания, задачи), осуществляющих доступ к файлам; • вид запрашиваемой операции (чтение, запись, удаление, выполнение, расширениеи т.п.). 5. Регистрировать попытки доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам, ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей. В параметрах регистрации указывается: • дата и время попытки доступа к защищаемому файлу с указанием ее результата (успешная, неуспешная — несанкционированная); • идентификатор субъекта доступа; • спецификация защищаемого объекта [логическое имя (номер)]; • имя программы (процесса, задания, задачи), осуществляющих доступ к файлам; • вид запрашиваемой операции (чтение, запись, монтирование, захват и т.п.). 6. Регистрировать изменения полномочий субъектов доступа, а также статуса объектов доступа. В параметрах регистрации указывается: • дата и время изменения полномочий; • идентификатор субъекта доступа (администратора), осуществившего изменения. 7. Осуществлять автоматический учет создаваемых защищаемых файлов с помощью их дополнительной маркировки, используемой в подсистеме управления доступом. Маркировка должна отражать уровень конфиденциальности объекта. 8. Проводить учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку). 9. Проводить учет защищаемых носителей с регистрацией их выдачи (приема) в специальном журнале (картотеке). 10. Проводить несколько видов учета (дублирующих) защищаемых носителей информации. 11. Осуществлять очистку (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей. Причем очистка должна осуществляется двукратной произвольной записью в освобождаемую область памяти, ранее использованную для хранения защищаемых данных (файлов). 12. Сигнализировать о попытках нарушения защиты.
Подсистема обеспечения целостности должна: 1. Обеспечивать целостность программных средств СЗИ НСД, обрабатываемой информации, а также неизменность программной среды. При этом: • целостность СЗИ НСД проверяется при загрузке системы по контрольным суммам компонент СЗИ; • целостность программной среды обеспечивается использованием трансляторов с языка высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации. 2. Осуществлять физическую охрану СВТ (устройств и носителей информации). При этом должно предусматриваться постоянное наличие охраны на территории здания и помещений, где находится АС. Охрана должна производиться с помощью технических средств охраны и специального персонала, а также с использованием строгого пропускного режима и специального оборудования в помещении АС. 3. Предусматривать наличие администратора или целой службы защиты информации, ответственных за ведение, нормальное функционирование и контроль работы СЗИ НСД. Администратор должен иметь свой терминал и необходимые средства оперативного контроля и воздействия на безопасность АС. 4. Проводить периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью специальных программных средств не реже одного раза в год. 5. Иметь в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности. 6. Использовать только сертифицированные средства защиты. Их сертификацию проводят специальные сертификационные центры или специализированные предприятия, имеющие лицензию на проведение сертификации средств защиты СЗИ НСД.
©2015 arhivinfo.ru Все права принадлежат авторам размещенных материалов.
|