Didžioji dalis informacijos yra modernus pasaulis apdorotas automatizuotos sistemos aha (AS). Todėl AS yra „populiariausias“ apsaugos objektas. Visos veikiančios AS, kurios atitinkamai apdoroja konfidencialią informaciją, kurioms reikalinga apsauga nuo neteisėtos prieigos, yra klasifikuojamos pagal Rusijos valstybinės techninės komisijos vadovą „Automatinės sistemos. Apsauga nuo neteisėtos prieigos prie informacijos. AS klasifikacija ir informacijos apsaugos reikalavimai “.
Pagal dokumentą AS klasifikacija apima šiuos veiksmus:
- Pradinių duomenų kūrimas ir analizė.
- Pagrindinių AS požymių, būtinų klasifikavimui, nustatymas.
- Nustatytų AS požymių palyginimas su klasifikuotais.
- Atitinkamos informacijos apsaugos nuo neteisėtos prieigos AS priskyrimas.
Pradiniai AS klasifikavimo duomenys yra šie:
- Saugomų AS informacijos išteklių sąrašas ir jų konfidencialumo lygis.
- Asmenų, turinčių prieigą prie įprastų AS įrenginių, sąrašas, nurodant jų įgaliojimų lygį.
- Prieigos arba įgaliojimų matrica prieiti prie dalykų susiję su saugomais AS informacijos ištekliais.
- Duomenų apdorojimo režimas AS.
Kintamosios srovės klasę pasirenka užsakovas ir kūrėjas, įtraukdami informacijos saugos specialistus.
Apibrėžiamos AS klasifikacijos ypatybės yra šios:
- informacijos prieinamumas AS skirtingi lygiai privatumas;
- valdžios lygiu prieiti prie dalykų AS už prieigą prie konfidencialios informacijos;
- duomenų apdorojimo režimas AS – kolektyvinis arba individualus.
Įdiegta 9 AS apsaugos nuo neteisėtos prieigos klasės informacijai, kiekvienai klasei būdingas tam tikras minimalus apsaugos reikalavimų rinkinys. Klasės skirstomos į 3 grupes:
- III grupė – 3B ir 3A klasės.
Klasės atitinka automatizuotas sistemas, kuriose vienam vartotojui suteikiama visa AS informacija, patalpinta tokio paties konfidencialumo lygio laikmenose.
- II grupė – 2B ir 2A klasės.
Šios grupės klasės atitinka automatizuotas sistemas, kuriose vartotojai turi vienodas prieigos teises prie visos AS esančios informacijos, apdorojamos ar saugomos skirtingo konfidencialumo lygio laikmenose.
- I grupė – 1D, 1G, 1C, 1B ir 1A klasės.
Šios automatizuotos sistemos vienu metu apdoroja arba saugo informaciją skirtingi lygiai privatumas. Ne visi vartotojai turi prieigą prie visos AS informacijos.
Įdomu tai, kad dokumente nurodomi 4 posistemiai, užtikrinantys apsaugą nuo neteisėtos prieigos:
- prieigos kontrolė;
- registracija ir apskaita;
- kriptografinis;
- vientisumas.
Priklausomai nuo AS klasės, reikalavimai išvardytiems posistemiams skiriasi (8.1, 8.2, 8.3 lentelės). Priimami šie pavadinimai:
„-“ – šiai klasei reikalavimų nėra;
„+“ – šiai klasei keliami reikalavimai.
| Posistemės ir reikalavimai | Klasės | ||||
|---|---|---|---|---|---|
| 1D | 1G | 1B | 1B | 1A | |
| prieigos kontrolė temos: | |||||
| į sistemą | + | + | + | + | + |
| - | + | + | + | + | |
| į programas | - | + | + | + | + |
| - | + | + | + | + | |
| 1.2. Kontrolė informacijos srautus | - | - | + | + | + |
| 2.1. Registracija ir apskaita: | |||||
| įėjimas (išėjimas) prieiti prie dalykų | + | + | + | + | + |
| - | + | + | + | + | |
| - | + | + | + | + | |
| prieiga prie programos prieiti prie dalykų | - | + | + | + | + |
| prieiga prie programos prieiti prie dalykų | - | + | + | + | + |
| valdžios pasikeitimai prieiti prie dalykų | - | - | + | + | + |
| - | - | + | + | + | |
| + | + | + | + | + | |
| - | + | + | + | + | |
| - | - | + | + | + | |
| - | - | - | + | + | |
| prieiti prie dalykų | - | - | - | - | + |
| kriptografinėmis priemonėmis | - | - | - | + | + |
| + | + | + | + | + | |
| + | + | + | + | + | |
| - | - | + | + | + | |
| + | + | + | + | + | |
| + | + | + | + | + | |
| - | - | + | + | + | |
| Posistemės ir reikalavimai | Klasės | |
|---|---|---|
| 2B | 2A | |
| 1. Prieigos kontrolės posistemis | ||
| 1.1. Identifikavimas, autentifikavimas ir prieigos kontrolė temos: | ||
| į sistemą | + | + |
| į terminalus, kompiuterius, kompiuterių tinklo mazgus, ryšio kanalus, išorinius kompiuterių įrenginius | - | + |
| į programas | - | + |
| į tomus, katalogus, failus, įrašus, įrašų laukus | - | + |
| 1.2. Kontrolė informacijos srautus | - | + |
| 2. Registracijos ir apskaitos posistemis | ||
| 2.1. Registracija ir apskaita: | ||
| įėjimas (išėjimas) prieiti prie dalykųį (iš) sistemos (prieglobos) | + | + |
| spausdintinių (grafinių) išvesties dokumentų išdavimas | - | + |
| programų ir procesų (užduočių, užduočių) paleidimas (užbaigimas) | - | + |
| prieiga prie programos prieiti prie dalykųį apsaugotus failus, įskaitant jų kūrimą ir ištrynimą, perdavimą linijomis ir ryšio kanalais | - | + |
| prieiga prie programos prieiti prie dalykųį terminalus, kompiuterius, kompiuterių tinklo mazgus, ryšio kanalus, išorinius kompiuterio įrenginius, programas, tomus, katalogus, failus, įrašus, įrašų laukus | - | + |
| valdžios pasikeitimai prieiti prie dalykų | - | - |
| sukūrė saugios prieigos objektus | - | + |
| 2.2. Saugojimo laikmenų apskaita | + | + |
| Išlaisvintų zonų valymas (nulinimas, nuasmeninimas). laisvosios kreipties atmintis kompiuteriai ir išoriniai diskai | - | + |
| 2.4. Signalizacijos bandymai pažeisti apsaugą | - | - |
| 3. Kriptografinis posistemis | ||
| 3.1. Jautrios informacijos šifravimas | - | + |
| 3.2. Informacijos, priklausančios skirtingoms, šifravimas prieiti prie dalykų(dalykų grupės) skirtingais klavišais | - | - |
| 3.3. Sertifikuotų (sertifikuotų) naudojimas kriptografinėmis priemonėmis | - | + |
| 4. Integralumo posistemis | ||
| 4.1. Programinės įrangos ir apdorotos informacijos vientisumo užtikrinimas | + | + |
| 4.2. Fizinė kompiuterinės įrangos ir informacijos laikmenų apsauga | + | + |
| 4.3. Informacijos apsaugos administratoriaus (paslaugos) buvimas AS | - | + |
| 4.4. Periodinis SZI NSD tikrinimas | - | + |
| 4.5. Informacijos saugumo sistemos NSD atkūrimo priemonių prieinamumas | + | + |
| 4.6. Sertifikuotų apsaugos priemonių naudojimas | - | + |
| Posistemės ir reikalavimai | Klasės | |
|---|---|---|
| 3B | 3A | |
| 1. Prieigos kontrolės posistemis | ||
| 1.1. Identifikavimas, autentifikavimas ir prieigos kontrolė temos: | ||
| į sistemą | + | + |
| į terminalus, kompiuterius, kompiuterių tinklo mazgus, ryšio kanalus, išorinius kompiuterių įrenginius | - | - |
| į programas | - | - |
| į tomus, katalogus, failus, įrašus, įrašų laukus | - | - |
| 1.2. Kontrolė | - | - |
| prieiga prie programos prieiti prie dalykųį terminalus, kompiuterius, kompiuterių tinklo mazgus, ryšio kanalus, išorinius kompiuterio įrenginius, programas, tomus, katalogus, failus, įrašus, įrašų laukus | - | - |
| valdžios pasikeitimai prieiti prie dalykų | - | - |
| sukūrė saugios prieigos objektus | - | - |
| 2.2. Saugojimo laikmenų apskaita | + | + |
| Išlaisvintų kompiuterio RAM ir išorinių diskų sričių valymas (nulis, nuasmeninimas). | - | + |
| 2.4. Signalizacijos bandymai pažeisti apsaugą | - | - |
| 3. Kriptografinis posistemis | ||
| 3.1. Jautrios informacijos šifravimas | - | - |
| 3.2. Informacijos, priklausančios skirtingoms, šifravimas prieiti prie dalykų(dalykų grupės) skirtingais klavišais | - | - |
| 3.3. Sertifikuotų (sertifikuotų) naudojimas kriptografinėmis priemonėmis | - | - |
| 4. Integralumo posistemis | ||
| 4.1. Programinės įrangos ir apdorotos informacijos vientisumo užtikrinimas | + | + |
| 4.2. Fizinė kompiuterinės įrangos ir informacijos laikmenų apsauga | + | + |
| 4.3. Informacijos apsaugos administratoriaus (paslaugos) buvimas AS | - | = |
| 4.4. Periodinis SZI NSD tikrinimas | + | + |
| 4.5. Informacijos saugumo sistemos NSD atkūrimo priemonių prieinamumas | + | + |
| 4.6. Sertifikuotų apsaugos priemonių naudojimas | - | + |
Išsamiau reikalavimai, priklausantys nuo saugumo klasės, yra aprašyti Rusijos valstybinės techninės komisijos vadovaujamame dokumente "Automatizuotos sistemos. Apsauga nuo neteisėtos prieigos prie informacijos. AS klasifikacija ir informacijos apsaugos reikalavimai". AS saugumo klasės patikslinimas yra privalomas, jei pasikeitė bent vienas iš kriterijų, kuriais remiantis ji buvo nustatyta.
Jei anksčiau klasifikuotas AU yra įtrauktas į kompiuterių tinklą ar sistemą ir yra sujungtas su kitomis techninėmis priemonėmis įvairaus fizinio pobūdžio ryšio linijomis, gautas AU yra daugiau. aukštas lygis klasifikuojama kaip visuma, tačiau žemesnio lygio AS klasifikacija nedaroma.
Jei sujungiamos skirtingų saugumo klasių AS, tai integruotoji AS turi būti klasifikuojama pagal aukščiausią į ją įtrauktos AS saugumo klasę, išskyrus atvejus, kai jos yra sujungiamos per užkardą, kai kiekviena iš sujungtų AS gali išlaikyti savo saugumo klasę. .
Vadovaujantis dokumentas
Automatizuotos sistemos.
Apsauga nuo neteisėtos prieigos prie informacijos
Automatizuotų sistemų klasifikacija ir informacijos saugumo reikalavimai
Patvirtinta Valstybinės techninės komisijos prie Prezidento pirmininko sprendimu Rusijos Federacija 1992 m. kovo 30 d
1. Kintamosios srovės klasifikacija
2. Informacijos apsaugos nuo neteisėtos prieigos AS reikalavimai
Šis rekomendacinis dokumentas nustato automatizuotų sistemų, kurios turi būti apsaugotos nuo neteisėtos prieigos prie informacijos, klasifikaciją ir įvairių klasių AU informacijos apsaugos reikalavimus.
Rekomendacijų dokumentas buvo parengtas kartu su GOST 34.003-90, GOST 34.601-90, RD 50-680-88, RD 50-34.680-90 ir kitais dokumentais.
Dokumentas gali būti naudojamas kaip norminė ir metodinė medžiaga klientams ir AS kūrėjams formuojant ir įgyvendinant apsaugos reikalavimus.
Priimtini sutrumpinimai
AS – automatizuotos sistemos
NSD – neteisėta prieiga
RD – vadovaujantis dokumentas
SZI – informacijos apsaugos sistema
SZI NSD – sistema, skirta apsaugoti informaciją nuo neteisėtos prieigos
1. Kintamosios srovės klasifikacija
1.1. Klasifikacija taikoma visoms veikiančioms ir planuojamoms įstaigų, organizacijų ir įmonių, kurios apdoroja konfidencialią informaciją, AS.
1.2. AS skirstymas į atitinkamas klases pagal jų veikimo sąlygas informacijos apsaugos požiūriu yra būtinas siekiant sukurti ir taikyti pagrįstas priemones reikiamam informacijos apsaugos lygiui pasiekti.
1.3. Požiūrio į apsaugos metodų ir priemonių pasirinkimą diferencijavimą lemia apdorojamos informacijos svarba, sudėties, struktūros, informacijos apdorojimo metodų skirtumai, kiekybinė ir kokybinė vartotojų ir techninės priežiūros personalo sudėtis.
1.4. Pagrindiniai AS klasifikavimo etapai yra šie:
- pradinių duomenų kūrimas ir analizė;
- pagrindinių AS bruožų, būtinų klasifikavimui, nustatymas;
- nustatytų AS požymių palyginimas su klasifikuotais;
- atitinkamos informacijos apsaugos nuo neteisėtos prieigos prie AS priskyrimas.
1.5. Tam tikrai AS klasifikacijai reikalingi pradiniai duomenys:
- AS saugomų informacijos išteklių sąrašas ir jų konfidencialumo lygis;
- asmenų, turinčių prieigą prie standartinių AE objektų, sąrašas, nurodant jų įgaliojimų lygį;
- prieigos arba prieigos subjektų įgaliojimų, susijusių su saugomais AS informacijos ištekliais, matrica;
- duomenų apdorojimo režimas AS.
1.6. Kintamosios srovės klasę pasirenka užsakovas ir kūrėjas, įtraukdami informacijos saugos specialistus.
1.7. Tarp pagrindinių savybių, pagal kurias AS yra suskirstyta į įvairias klases, yra:
- įvairių konfidencialumo lygių informacijos buvimas AS;
- AS prieigos subjektų įgaliojimų pasiekti konfidencialią informaciją lygis;
- duomenų apdorojimo režimas AS - kolektyvinis arba individualus.
1.8. Nustatytos devynios AS saugumo klasės nuo NSD iki informacijos.
Kiekvienai klasei būdingi tam tikri minimalūs apsaugos reikalavimai.
Klasės skirstomos į tris grupes, kurios skiriasi informacijos apdorojimo AS ypatybėmis.
Kiekvienoje grupėje laikomasi apsaugos reikalavimų hierarchijos, kuri priklauso nuo informacijos vertės (konfidencialumo), taigi ir AS saugumo klasių hierarchijos.
1.9. Trečiajai grupei priklauso AS, kurioje vienam vartotojui suteikiama visa AS informacija, patalpinta tokio paties konfidencialumo lygio laikmenose. Grupę sudaro dvi klasės – 3B ir 3A.
Antrajai grupei priklauso AS, kurioje vartotojai turi vienodas prieigos teises (autoritetus) prie visos AS informacijos, apdorojamos ir (ar) saugomos skirtingo konfidencialumo lygio laikmenose. Grupę sudaro dvi klasės – 2B ir 2A.
Pirmajai grupei priklauso kelių vartotojų AS, kuri vienu metu apdoroja ir (ar) saugo įvairaus konfidencialumo lygio informaciją. Ne visi vartotojai turi teisę pasiekti visą AS informaciją. Grupę sudaro penkios klasės – 1D, 1G, 1C, 1B ir 1A.
2. Informacijos apsaugos nuo neteisėtos prieigos AS reikalavimai
2.1. Informacijos apsauga nuo neteisėtos prieigos yra neatskiriama bendros informacijos saugumo užtikrinimo problemos dalis. Priemonės, skirtos apsaugoti informaciją nuo neteisėtos prieigos, turėtų būti taikomos kartu su priemonėmis, skirtomis speciali apsauga pagrindinės ir pagalbinės kompiuterinės technikos priemonės, priemonės ir ryšių sistemos iš techninėmis priemonėmisžvalgyba ir pramoninis šnipinėjimas.
2.2. Bendruoju atveju informacijos apsaugos nuo UA (SZI UA) sistemos programinės ir techninės įrangos bei organizacinių (procedūrinių) sprendimų rinkinys, skirtas apsaugoti informaciją nuo UA, yra įgyvendinamas, sąlygiškai susidedantis iš šių keturių posistemių:
- prieigos kontrolė;
- registracija ir apskaita;
- kriptografinis;
- vientisumo užtikrinimas.
2.3. Atsižvelgiant į AE klasę, šiuose posistemiuose reikalavimai turi būti įgyvendinami laikantis punktų. 2.4, 2.7 ir 2.10. Šie reikalavimai yra išsamiai aprašyti punktuose. 2,5, 2,6, 2,8, 2,9 ir 2,11-2,15.
2.4. Reikalavimai trečios grupės pranešėjams
Pavadinimai:
- "-" - šiai klasei reikalavimų nėra;
- „+“ – šiai klasei keliami reikalavimai.
|
Posistemės ir reikalavimai |
||
|
1. Prieigos kontrolės posistemis |
||
|
1.1. Objektų identifikavimas, autentifikavimas ir prieigos kontrolė: |
||
|
į sistemą |
||
|
į terminalus, kompiuterius, kompiuterių tinklo mazgus, ryšio kanalus, išorinius kompiuterių įrenginius |
||
|
į programas |
||
|
į tomus, katalogus, failus, įrašus, įrašų laukus |
||
|
1.2. Informacijos srautų valdymas |
||
|
2. Registracijos ir apskaitos posistemis |
||
|
2.1. Registracija ir apskaita: |
||
|
prieigos subjektų įėjimas (išėjimas) į sistemą (-as) (tinklo mazgą) |
||
|
spausdintinių (grafinių) išvesties dokumentų išdavimas |
||
|
programų ir procesų (užduočių, užduočių) paleidimas (užbaigimas) |
||
|
prieiti prie saugomų failų subjektų programų, įskaitant jų kūrimą ir ištrynimą, perdavimą linijomis ir ryšio kanalais |
||
|
prieigos subjektų programos prie terminalų, kompiuterių, kompiuterių tinklo mazgų, ryšio kanalų, išorinių kompiuterių įrenginių, programų, tomų, katalogų, failų, įrašų, įrašų laukų |
||
|
keičiant prieigos subjektų įgaliojimus |
||
|
sukūrė saugios prieigos objektus |
||
|
2.2. Saugojimo laikmenų apskaita |
||
|
2.3. Išlaisvintų kompiuterio RAM ir išorinių diskų sričių valymas (nulis, nuasmeninimas). |
||
|
2.4. Signalizacijos bandymai pažeisti apsaugą |
||
|
3. Kriptografinis posistemis |
||
|
3.1. Jautrios informacijos šifravimas |
||
|
3.2. Skirtingiems prieigos subjektams (subjektų grupėms) priklausančios informacijos šifravimas naudojant skirtingus raktus |
||
|
3.3. Patvirtintų (sertifikuotų) kriptografinių priemonių naudojimas |
||
|
4. Integralumo posistemis |
||
|
4.1. Programinės įrangos ir apdorotos informacijos vientisumo užtikrinimas |
||
|
4.2. Fizinė kompiuterinės įrangos ir informacijos laikmenų apsauga |
||
|
4.3. Informacijos apsaugos administratoriaus (paslaugos) buvimas AS |
||
|
4.4. Periodinis SZI NSD testavimas |
||
|
4.5. Informacijos saugumo sistemos NSD atkūrimo priemonių prieinamumas |
||
|
4.6. Sertifikuotų apsaugos priemonių naudojimas |
||
Informacijos apsauga nuo neteisėtos prieigos yra neatskiriama bendros informacijos saugumo užtikrinimo problemos dalis. Priemonės, skirtos apsaugoti informaciją nuo neteisėtos prieigos, turėtų būti atliekamos kartu su priemonėmis, skirtomis apsaugoti pagrindinę ir pagalbinę kompiuterinę įrangą nuo PEMIN.
Informacijos apsaugos nuo UA (SZI UA) rėmuose įdiegtas programinės ir techninės įrangos bei organizacinių (procedūrinių) sprendimų kompleksas informacijai apsaugoti nuo UA, kurią sąlyginai sudaro keturi posistemiai: prieigos kontrolė; registracija ir apskaita; kriptografinis; vientisumas.
AS konfidencialios informacijos savininkas (savininkas), dalyvaujant ekspertų komisijai ir suinteresuotoms šalims, parenka priimtiną AS apsaugos nuo neteisėtos prieigos klasę (jei reikia, įtraukiant informacijos saugos specialistus), remdamasis AS veikimo sąlygos ir režimas bei reikalingas informacijos apsaugos patikimumas. Pasirinkta AS slaptumo žyma surašoma aktu ir patvirtinama koncesijos savininko (savininko)
konfidenciali informacija AS.
Tarp pagrindinių savybių, pagal kurias AS yra suskirstyta į įvairias klases, yra:
įvairių konfidencialumo lygių informacijos buvimas AS; AS prieigos subjektų įgaliojimų pasiekti konfidencialią informaciją lygis;
duomenų apdorojimo režimas AS: kolektyvinis arba individualus. Konkreti NSD informacijos apsaugos sistemos sudėtis nustatoma pagal šiam AS pasirinktą saugumo klasę pagal dokumentą „Automatinės sistemos. Apsauga nuo neteisėtos prieigos prie informacijos. Automatizuotų sistemų klasifikacija ir informacijos apsaugos reikalavimai“.
Priklausomai nuo konkrečios AS sąlygų, kurias daugiausia lemia nustatyta AS saugumo klasė prieigos kontrolės, registravimo ir apskaitos, vientisumo ir kriptografinių posistemių posistemių rėmuose, rekomenduojama įdiegti (atlikti) šias funkcijas - reikalavimus. atitinkamoms klasėms.
Prieigos kontrolės posistemis turėtų apimti vartotojų ir jų programų identifikavimo, autentifikavimo (autentifikavimo) ir prieigos kontrolės priemones prie šių išteklių: prie sistemos; į terminalus;
prie kompiuterio (PC), kompiuterių tinklo mazgų (PC); į komunikacijos kanalus;
į išorinius kompiuterio (PC) įrenginius;
į programą į tomus, katalogus, bylas, įrašus, įrašų laukus. Identifikavimo, autentifikavimo ir prieigos prie išteklių kontrolės elementai yra įgyvendinami, jei AS turi nurodytus išteklius ir kai kurie vartotojai neturi leidimo prie jų prieiti. Subjektų prieigos prie saugomų išteklių kontrolė vykdoma pagal prieigos matricą.
Be prieigos kontrolės priemonių, šis posistemis, esant keliems informacijos konfidencialumo lygiams, turėtų apimti informacijos srauto valdymo priemones, t. y. informacijos perdavimo tarp griežtai nustatytų išteklių (nešėjų) kontrolę, atsižvelgiant į tokio tipo leidimų prieinamumą. mainų. Informacijos srautas kontroliuojamas naudojant jautrumo etiketes. Tuo pačiu saugomų objektų (diskų) konfidencialumo lygis neturi būti žemesnis už juose įrašytos informacijos konfidencialumo lygį.
Registracijos ir apskaitos posistemis turėtų apimti priemones, skirtas registruoti ir apskaityti šiuos įvykius ir (arba) išteklius:
vartotojų prisijungimas/atsijungimas į/iš sistemos (tinklo mazgo); spausdintinių (grafinių išvesties dokumentų) išdavimas;
paleisti/sustabdyti programas n procesų (užduočių, užduočių) naudojant apsaugotus failus;
vartotojo programų prieiga prie apsaugotų failų, įskaitant jų kūrimą ir ištrynimą, perdavimą linijomis ir ryšio kanalais;
vartotojo programų prieiga prie terminalų, kompiuterių, kompiuterių tinklo mazgų, ryšio kanalų ir linijų, išorinių kompiuterių įrenginių, programų, tomų, katalogų; prieigos subjektų įgaliojimų keitimas; sukurti saugios prieigos objektai; informacijos nešėjų apskaita. Be to, šis posistemis turėtų apimti priemones, skirtas išvalyti (nulį, nuasmeninimą) kompiuterio RAM ir išorinių diskų, naudojamų apsaugotai informacijai apdoroti ir (arba) saugoti, zonas.
Kriptografinis posistemis turėtų numatyti konfidencialios informacijos, įrašytos į bendrai naudojamas (bendras) duomenų laikmenas, šifravimą skirtingų prieigos subjektų, taip pat į išimamas ilgalaikės išorinės atminties laikmenas (juostos, diskus, diskelius, mikrokasetes ir kt.). saugojimas ne darbo sesijų metu įgalioti prieigos subjektai. Prieigą prie šifravimo operacijų ir (arba) kriptografinių raktų valdo prieigos kontrolės posistemis. Tokiu atveju turi būti naudojamos sertifikuotos kriptografinės apsaugos priemonės. Jų sertifikavimą atlieka specialūs sertifikavimo centrai arba specializuotos įmonės, turinčios licenciją sertifikuoti kriptografinės saugos priemones.
NSD informacijos saugumo sistemos funkcijų įgyvendinimo lygis turėtų užtikrinti jos vientisumą visiems AE veikimo režimams.
Informacijos saugos sistemos NSD vientisumo užtikrinimo posistemis yra privalomas bet kuriai informacijos saugos sistemai ir apima organizacines, programines, technines ir kitas priemones bei metodus, kurie suteikia:
fizinė IKT (prietaisų ir informacijos laikmenų), teritorijos ir pastato, kuriame yra J1C, apsauga, pasitelkiant techninę apsaugos įrangą ir specialų personalą, griežta patekimo kontrolė, speciali AE patalpų įranga;
prieigos kontrolės, apskaitos ir kontrolės neprieinamumas vartotojams, siekiant juos modifikuoti, blokuoti ar išjungti;
AS ir informacijos saugos programinės įrangos vientisumo kontrolė dėl neteisėtų jų pakeitimų;
periodinis ir (arba) dinaminis NSD informacijos saugos sistemos funkcijų testavimas naudojant specialias programines priemones;
informacijos apsaugos administratoriaus (tarnybos), atsakingo už NSD informacijos saugos sistemos priežiūrą, normalų funkcionavimą ir darbo kontrolę, buvimas; NSD informacijos saugos objekto atkūrimas gedimo ir gedimo atveju;
sertifikuotų (sertifikuotų) apsaugos priemonių ir būdų naudojimas, kurių sertifikavimas atliekamas specialiu sertifikavimu
centrai ar specializuotos įmonės, turinčios licenciją sertifikuoti NSD SZI apsaugos priemones, žemoms saugumo klasėms sertifikavimą leidžiama atlikti pačiai įmonei (savininkui).
Kiekvienai AS, kuri apdoroja konfidencialią informaciją, turi būti numatyta visos sistemos priemonių programinės aplinkos ir NSD informacijos saugos objekto, priimto eksploatuoti, kontrolė. Programinės įrangos aplinkos vientisumą užtikrina AS programinės įrangos, skirtos konfidencialiai informacijai apdoroti, priėmimo kokybė.
Praktinis informacijos saugos įrankių, atitinkančių išvardintus reikalavimus, kūrimas vykdomas kompiuterių operacinių sistemų (PC) techninės ir valdymo programose, taip pat programinėse priemonėse, kurios išplečia operacinių sistemų galimybes, jei jos naudojamos.
Plačiau apie temą 8.2. Reikalavimai informacijos apsaugos sistemoms nuo neteisėtos prieigos:
- 8.3. Reikalavimai informacijos apsaugos sistemoms nuo elektromagnetinės spinduliuotės perėmimo ir imtuvų (PEMIN)
- 6.1. Leidimo gauti prieigą prie informacijos, kuri yra įmonės komercinė paslaptis, sistemos struktūra
- 3.3. Rusijos Federacijos valdžios institucijų svetainių grėsmių informacijos apsaugos sistemoms modelis
- 8. KOMERCINĖ PASLAPTIS TURINČIOS INFORMACIJOS APSAUGA TVARKANT IR SAUGOJANT AUTOMATIZUOTOSE SISTEMOSE
- Taikymas. GALIMI GRĖSMĖS INSTITUCIJŲ SVETAINIŲ INFORMACIJOS APSAUGOS SISTEMOMS MODELIS
- Tokių tyrimų atlikimą, kartu su daugelio kitų klausimų analize, sąlygoja būtinybė užtikrinti informacinių išteklių saugumą, taip pat didėjančios grėsmės Rusijos Federacijos nacionaliniam saugumui informacinėje sferoje. gauti neteisėtą prieigą prie informacijos išteklių ir sutrikdyti normalų informacinių ir telekomunikacijų sistemų funkcionavimą. Atsižvelgiant į tai, valdžios institucijų interneto svetainių informacijos saugumo sistemos efektyvumo analizė tampa privalomu etapu kuriant bet kokį
ISO 15408 standartas, aprašantis saugumo vertinimo kriterijus, buvo naujas IT saugumo vertinimo reguliavimo sistemos įgyvendinimo etapas. Remdamasi šiuo standartu, kiekviena valstybė pritaikė jį prie savo realijų ir tendencijų.
Kompiuterinės įrangos saugumo klasės
Pagal norminis dokumentas„Kompiuterinės technikos priemonės. Apsauga nuo neteisėtos prieigos prie informacijos. Galima išskirti saugumo rodiklius nuo neteisėtos prieigos prie informacijos septynios klasės kompiuterių įrenginių (SVT) apsauga nuo informacijos. Aukščiausia klasė – pirmoji, žemiausia – septinta. Klasės skirstomos į 4 grupes, kurios skiriasi saugumo kokybės lygiu:
- Ketvirtajai grupei būdinga patikrinta apsauga ir yra tik pirmoji klasė
- Trečiajai grupei būdinga privaloma apsauga ir yra 4, 3 ir 2 klasės
- Antrajai grupei būdinga diskrecinė apsauga ir 6 bei 5 laipsniai
- Pirmoje grupėje tik 7 klasė
Atsižvelgiant į informacijos saugumo klasifikaciją AS sistemoje, objektų vietą ir įgyvendinimo sąlygas, pasirenkama tam tikra saugumo klasė. 1 lentelėje pateiktas rodiklių sąrašas pagal CBT saugumo klases. Pavadinimai:
- » — «: nėra klasės reikalavimo
- » + «: nauji arba papildomi reikalavimai
- » = «: reikalavimai yra tokie patys kaip ir ankstesnės klasės reikalavimai
1 lentelė
| Indikatoriaus pavadinimas | 6 | 5 | 4 | 3 | 2 | 1 |
|---|---|---|---|---|---|---|
| Diskretinio prieigos kontrolės principas | + | + | + | = | + | = |
| Privalomas prieigos kontrolės principas | — | — | + | = | = | = |
| Atminties išvalymas | — | + | + | + | = | = |
| Modulio izoliacija | — | — | + | = | + | = |
| Dokumento žymėjimas | — | — | + | = | = | = |
| Įvesties ir išvesties į svetimą fizinę laikmeną apsauga | — | — | + | = | = | = |
| Naudotojo susiejimas su įrenginiu | — | — | + | = | = | = |
| Identifikavimas ir autentifikavimas | + | = | + | = | = | = |
| Dizaino užtikrinimas | — | + | + | + | + | + |
| Registracija | — | + | + | + | = | = |
| Vartotojo sąveika su CSP | — | — | — | + | = | = |
| Patikimas atkūrimas | — | — | — | + | = | = |
| KSZ vientisumas | — | + | + | + | = | = |
| Modifikacijos valdymas | — | — | — | — | + | = |
| Paskirstymo kontrolė | — | — | — | — | + | = |
| Architektūros garantijos | — | — | — | — | — | + |
| Testavimas | + | + | + | + | + | = |
| Naudotojo gidas | + | = | = | = | = | = |
| QPS vadovas | + | + | = | + | + | = |
| Bandymo dokumentacija | + | + | + | + | + | = |
| Projektinė (projektinė) dokumentacija | + | + | + | + | + | + |
Nurodyti kiekvienos klasės veikimo reikalavimų rinkiniai yra minimaliai reikalingas. Septinta klasė priskiriami tiems SVT, kuriems informacijos apsaugos nuo neteisėtos prieigos reikalavimai yra žemesni už šeštos klasės lygius.
Automatizuotų sistemų saugumo klasės
Automatizuotos sistemos
Norminė bazė yra dokumentas „Automatizuotos sistemos. Apsauga nuo neteisėtos prieigos prie informacijos. Automatizuotų sistemų klasifikacija ir informacijos apsaugos reikalavimai. Automatizuotų sistemų klasifikacija ir informacijos apsaugos reikalavimai “. Apsaugos priemonių ir metodų nustatymo metodo diferencijavimas grindžiamas apdorojama informacija, AS sudėtimi, AS struktūra, kokybine ir kiekybine vartotojų ir techninės priežiūros personalo sudėtimi. Pagrindinis AS klasifikavimo etapai yra:
- Pradinių duomenų kūrimas ir analizė
- ieškoti pagrindinių AS ypatybių, reikalingų klasifikavimui
- nustatytų požymių analizė
- garsiakalbiams priskiriant tam tikrą apsaugos klasę
Pagrindiniai AS saugumo klasės nustatymo parametrai yra šie:
- informacijos konfidencialumo lygis AS
- AS subjektų prieigos prie konfidencialios informacijos autoritetų lygis
- informacijos apdorojimo režimas AS (kolektyvinis arba individualus)
Paskirstyti devynios klasės AS apsauga nuo neteisėtos prieigos prie informacijos. Kiekviena klasė turi minimalius apsaugos reikalavimus. Klasės gali būti suskirstytos į 3 grupes. Kiekviena grupė turi savo klasių hierarchiją.
- Trečioji grupė – apibrėžia vieno vartotojo, kuriam leidžiama susipažinti su visais AS duomenimis, darbą, patalpintą tokio paties konfidencialumo lygio laikmenose. Grupė turi dvi klases – 3B ir 3A
- Antroji grupė – apibrėžia vartotojų, turinčių vienodas prieigos teises prie visų AS duomenų, saugomų ir (ar) tvarkomų skirtingo konfidencialumo lygio laikmenose, darbą. Grupė turi dvi klases – 2B ir 2A
- Pirmoji grupė – apibrėžia kelių vartotojų AS, kurioje vienu metu saugomi ir (ar) apdorojami skirtingo konfidencialumo lygio duomenys ir ne visi vartotojai turi prieigą prie jų. Grupėje yra penkios klasės 0 1D, 1G, 1C, 1B, 1A
Reikalavimai AS apsaugoti informaciją nuo neteisėtos prieigos
Informacijos apsaugos nuo neteisėtos prieigos priemonės turėtų būti įgyvendinamos kartu su specialios kompiuterinės įrangos (SVT) ir ryšių sistemų apsaugos nuo techninių žvalgybos ir pramonės metodų priemonėmis.
Lentelių pavadinimai:
- „-“: dabartinei klasei nereikalaujama
- „+“: esamai klasei keliami reikalavimai
2 lentelė. Reikalavimai garsiakalbiams
| Posistemės ir reikalavimai | 3 grupė | 2 grupė | 1 grupė | ||||||
|---|---|---|---|---|---|---|---|---|---|
| 3B | 3A | 2B | 2A | 1D | 1G | 1B | 1B | 1A | |
| 1. Prieigos kontrolės posistemis | |||||||||
| 1.1. Objektų identifikavimas, autentifikavimas ir prieigos kontrolė: | |||||||||
| į sistemą | + | + | + | + | + | + | + | + | + |
| į terminalus, kompiuterius, kompiuterių tinklo mazgus, ryšio kanalus, išorinius kompiuterių įrenginius | — | — | — | + | — | + | + | + | + |
| į programas | — | — | — | + | — | + | + | + | + |
| į tomus, katalogus, failus, įrašus, įrašų laukus | — | — | — | + | — | + | + | + | + |
| Informacijos srautų valdymas | — | + | — | — | + | + | + | ||
| 2. Registracijos ir apskaitos posistemis | |||||||||
| 2.1. Registracija ir apskaita: | |||||||||
| prieigos subjektų įėjimas (išėjimas) į sistemą (-as) (tinklo mazgą) | + | + | + | + | + | + | + | + | + |
| spausdintinių (grafinių) išvesties dokumentų išdavimas | — | + | — | + | — | + | + | + | + |
| programų ir procesų (užduočių, užduočių) paleidimas (užbaigimas) | — | — | — | + | — | + | + | + | + |
| prieiti prie saugomų failų subjektų programų, įskaitant jų kūrimą ir ištrynimą, perdavimą linijomis ir ryšio kanalais | — | — | — | + | — | + | + | + | + |
| prieigos subjektų programos prie terminalų, kompiuterių, kompiuterių tinklo mazgų, ryšio kanalų, išorinių kompiuterių įrenginių, programų, tomų, katalogų, failų, įrašų, įrašų laukų | — | — | — | + | — | + | + | + | + |
| keičiant prieigos subjektų įgaliojimus | — | — | — | — | — | — | + | + | + |
| sukūrė saugios prieigos objektus | — | — | — | + | — | — | + | + | + |
| 2.2. Saugojimo laikmenų apskaita | + | + | + | + | + | + | + | + | + |
| 2.3. Išlaisvintų kompiuterio RAM ir išorinių diskų sričių valymas (nulis, nuasmeninimas). | — | + | — | + | — | + | + | + | + |
| 2.4. Signalizacijos bandymai pažeisti apsaugą | — | — | — | — | — | — | + | + | + |
| 3. Kriptografinis posistemis | |||||||||
| 3.1. Jautrios informacijos šifravimas | — | — | — | + | — | — | — | + | + |
| 3.2. Skirtingiems prieigos subjektams (subjektų grupėms) priklausančios informacijos šifravimas naudojant skirtingus raktus | — | — | — | — | — | — | — | — | + |
| 3.3. Patvirtintų (sertifikuotų) kriptografinių priemonių naudojimas | — | — | — | + | — | — | — | + | + |
| 4. Integralumo posistemis | |||||||||
| 4.1. Programinės įrangos ir apdorotos informacijos vientisumo užtikrinimas | + | + | + | + | + | + | + | + | + |
| 4.2. Fizinė kompiuterinės įrangos ir informacijos laikmenų apsauga | + | + | + | + | + | + | + | + | + |
| 4.3. Informacijos apsaugos administratoriaus (paslaugos) buvimas AS | — | — | — | + | — | — | + | + | + |
| 4.4. Periodinis SZI NSD tikrinimas | + | + | + | + | + | + | + | + | + |
| 4.5. Informacijos saugumo sistemos NSD atkūrimo priemonių prieinamumas | + | + | + | + | + | + | + | + | + |
| 4.6. Sertifikuotų apsaugos priemonių naudojimas | — | + | — | + | — | — | + | + | + |
šrifto dydis
REKOMENDACIJOS DOKUMENTAS AUTOMATIZUOTOS SISTEMOS – APSAUGA NUO NEteisėtos PRIEIGOS PRIE INFORMACIJOS KLASIFIKACIJOS... Aktualus 2017 m.
2. Informacijos apsaugos nuo neteisėtos prieigos AS reikalavimai
2.1. Informacijos apsauga nuo neteisėtos prieigos yra neatskiriama bendros informacijos saugumo užtikrinimo problemos dalis. Informacijos apsaugos nuo neteisėtos prieigos priemonės turėtų būti vykdomos kartu su specialiomis pagrindinių ir pagalbinių kompiuterinių technologijų priemonių, priemonių ir ryšių sistemų apsaugos nuo techninių žvalgybos priemonių ir pramoninio šnipinėjimo priemonėmis.
2.2. Bendruoju atveju informacijos apsaugos nuo UA (SZI UA) sistemos programinės ir techninės įrangos bei organizacinių (procedūrinių) sprendimų rinkinys, skirtas apsaugoti informaciją nuo UA, yra įgyvendinamas, sąlygiškai susidedantis iš šių keturių posistemių:
Prieigos kontrolė;
Registracija ir apskaita;
Kriptografija;
Vientisumo užtikrinimas.
2.3. Atsižvelgiant į AE klasę, šiuose posistemiuose reikalavimai turi būti įgyvendinami laikantis punktų. 2.4, 2.7 ir 2.10. Šie reikalavimai yra išsamiai aprašyti punktuose. 2,5, 2,6, 2,8, 2,9 ir 2,11-2,15.
2.4. Reikalavimai trečios grupės pranešėjams
Pavadinimai:
| Posistemės ir reikalavimai | Klasės | |
| 3B | 3A | |
| į sistemą | + | + |
| - | - | |
| į programas | - | - |
| - | - | |
| 2.1. Registracija ir apskaita: | ||
| prieigos subjektų įėjimas (išėjimas) į sistemą (-as) (tinklo mazgą) | + | + |
| - | + | |
| - | - | |
| - | - | |
| - | - | |
| - | - | |
| - | - | |
| + | + | |
| - | + | |
| - | - | |
| - | - | |
| - | - | |
| - | - | |
| + | + | |
| + | + | |
| - | - | |
| + | + | |
| + | + | |
| - | + | |
prieigos subjektų identifikavimas ir autentifikavimas turėtų būti atliekamas prisijungiant prie sistemos naudojant sąlyginį nuolatinį slaptažodį, mažiausiai šešių raidinių ir skaitinių simbolių ilgio.
Visos saugomos laikmenos turi būti apskaitomos naudojant bet kokį žymėjimą ir įrašant įgaliojimus žurnale (registracijos kortelėje).
Kur:
2.6. 3A saugumo klasės reikalavimai:
Prieigos kontrolės posistemis:
Prieigos subjektai turi būti identifikuoti ir autentifikuoti prisijungiant prie sistemos naudojant pusiau nuolatinį slaptažodį, kurio ilgis yra mažiausiai šeši raidiniai ir skaitiniai simboliai.
Registracijos ir apskaitos posistemis:
Priėjimo prie sistemos (iš sistemos) subjekto įėjimo (išėjimo) arba sistemos įkėlimo (sustabdymo) data ir laikas;
Registruojant informacijos laikmenų išdavimą (priėmimą), turėtų būti vykdoma kelių rūšių apskaita (dublikatas);
Vientisumo posistemis:
Turi būti užtikrintas NSD informacijos saugos objekto programinių priemonių, tvarkomos informacijos vientisumas, programinės aplinkos nekintamumas. Kur:
NSD informacinės saugos informacinės sistemos vientisumas tikrinamas, kai sistema įkeliama, esant informacijos apsaugos sistemos komponentų pavadinimams (identifikatoriams);
Programinės aplinkos vientisumą užtikrina programų kūrimo ir derinimo įrankių trūkumas AS;
NSD informacijos saugos sistemos funkcijų periodinis testavimas turėtų būti atliekamas pasikeitus AE programinei aplinkai ir personalui, naudojant testavimo programas, imituojančias NSD bandymus;
2.7. Reikalavimai antros grupės pranešėjams
Pavadinimai:
„-“ – šiai klasei reikalavimų nėra;
„+“ – šiai klasei keliami reikalavimai.
| Posistemės ir reikalavimai | Klasės | |
| 2B | 2A | |
| 1. Prieigos kontrolės posistemis | ||
| 1.1. Objektų identifikavimas, autentifikavimas ir prieigos kontrolė: | ||
| į sistemą | + | + |
| į terminalus, kompiuterius, kompiuterių tinklo mazgus, ryšio kanalus, išorinius kompiuterių įrenginius | - | + |
| į programas | - | + |
| į tomus, katalogus, failus, įrašus, įrašų laukus | - | + |
| 1.2. Informacijos srautų valdymas | - | + |
| 2. Registracijos ir apskaitos posistemis | ||
| 2.1. Registracija ir apskaita: | ||
| + | + | |
| spausdintinių (grafinių) išvesties dokumentų išdavimas | - | + |
| programų ir procesų (užduočių, užduočių) paleidimas (užbaigimas) | - | + |
| prieiti prie saugomų failų subjektų programų, įskaitant jų kūrimą ir ištrynimą, perdavimą linijomis ir ryšio kanalais | - | + |
| prieigos subjektų programos prie terminalų, kompiuterių, kompiuterių tinklo mazgų, ryšio kanalų, išorinių kompiuterių įrenginių, programų, tomų, katalogų, failų, įrašų, įrašų laukų | - | + |
| keičiant prieigos subjektų įgaliojimus | - | - |
| sukūrė saugios prieigos objektus | - | + |
| 2.2. Saugojimo laikmenų apskaita | + | + |
| 2.3. Išlaisvintų kompiuterio RAM ir išorinių diskų sričių valymas (nulis, nuasmeninimas). | - | + |
| 2.4. Signalizacijos bandymai pažeisti apsaugą | - | - |
| 3. Kriptografinis posistemis | ||
| 3.1. Jautrios informacijos šifravimas | - | + |
| 3.2. Skirtingiems prieigos subjektams (subjektų grupėms) priklausančios informacijos šifravimas naudojant skirtingus raktus | - | - |
| 3.3. Patvirtintų (sertifikuotų) kriptografinių priemonių naudojimas | - | + |
| 4. Integralumo posistemis | ||
| 4.1. Programinės įrangos ir apdorotos informacijos vientisumo užtikrinimas | + | + |
| 4.2. Fizinė kompiuterinės įrangos ir informacijos laikmenų apsauga | + | + |
| 4.3. Informacijos apsaugos administratoriaus (paslaugos) buvimas AS | - | + |
| 4.4. Periodinis SZI NSD tikrinimas | + | + |
| 4.5. Informacijos saugumo sistemos NSD atkūrimo priemonių prieinamumas | + | + |
| 4.6. Sertifikuotų apsaugos priemonių naudojimas | - | + |
Prieigos kontrolės posistemis:
prieigos subjektų identifikavimas ir autentifikavimas turėtų būti atliekamas įeinant į sistemą naudojant identifikatorių (kodą) ir sąlyginai nuolatinį ne mažiau kaip šešių raidinių ir skaitmeninių simbolių slaptažodį.
Registracijos ir apskaitos posistemis:
prieigos prie sistemos subjektų (iš sistemos) įėjimo (išėjimo) registravimas arba įkėlimo ir inicijavimo registravimas Operacinė sistema ir jos programinės įrangos išjungimas. Išjungimo iš sistemos ar išjungimo registracija nevykdoma AU aparatinės įrangos išjungimo metu.
Registracijos parinktys apima:
Priėjimo prie sistemos (iš sistemos) subjekto įėjimo (išėjimo) arba sistemos įkėlimo (sustabdymo) data ir laikas;
Bandymo prisijungti rezultatas: sėkmingas arba nesėkmingas (su NSD);
Visas saugomas laikmenas reikia apskaityti jas pažymint ir į žurnalą (registracijos kortelę) įrašant įgaliojimus.
Vientisumo posistemis:
Turi būti užtikrintas NSD informacijos saugos objekto programinių priemonių, tvarkomos informacijos vientisumas, programinės aplinkos nekintamumas.
Kur:
NSD informacinės saugos informacinės sistemos vientisumas tikrinamas, kai sistema įkeliama, esant informacijos apsaugos sistemos komponentų pavadinimams (identifikatoriams);
Programinės įrangos aplinkos vientisumą užtikrina tai, kad AS nėra įrankių, skirtų programoms kurti ir derinti apdorojant ir (ar) saugomos informacijos saugojimo metu;
Turėtų būti vykdoma fizinė SVT (prietaisų ir laikmenų) apsauga, kuri numato pašalinių asmenų patekimo į AE patalpas kontrolę, patikimų kliūčių buvimą neteisėtam patekimui į AE patalpas ir informacijos laikmenų saugojimą, ypač ne darbo valandomis;
Turėtų būti prieinamos NVD informacijos apsaugos sistemos atkūrimo priemonės, numatančios dviejų NSD informacijos apsaugos sistemos programinės įrangos kopijų priežiūrą ir periodinį jų atnaujinimą bei veiklos stebėjimą.
2.9. 2A saugumo klasės reikalavimai.
Prieigos kontrolės posistemis:
Terminalai, kompiuteriai, kompiuterių tinklo mazgai, ryšio kanalai, išoriniai kompiuterių įrenginiai turi būti identifikuojami pagal jų loginius adresus (skaičius);
Informacijos srautas turėtų būti kontroliuojamas naudojant jautrumo etiketes. Tuo pačiu metu diskų konfidencialumo lygis neturi būti žemesnis nei juose įrašytos informacijos konfidencialumo lygis.
Registracijos ir apskaitos posistemis:
turėtų būti atliekama prieigos prie sistemos (iš sistemos) subjektų įėjimo (išėjimo) registracija arba operacinės sistemos įkėlimo ir inicijavimo bei jos programinės įrangos išjungimo registracija. Išjungimo iš sistemos ar išjungimo registracija nevykdoma AU aparatinės įrangos išjungimo metu. Registracijos parinktys apima:
Priėjimo prie sistemos (iš sistemos) subjekto įėjimo (išėjimo) arba sistemos įkėlimo (sustabdymo) data ir laikas;
Bandymo prisijungti rezultatas: sėkmingas arba nesėkmingas (su NSD);
Reikėtų užregistruoti spausdintinių (grafinių) dokumentų išdavimą „popierinei“ kopijai. Išduodant turi būti automatiškai pažymimas kiekvienas dokumento lapas (puslapis). serijos numeris ir VS apskaitos rekvizitai, paskutiniame dokumento lape nurodant bendrą lapų (puslapių) skaičių. Registracijos parinktys apima:
Išdavimo data ir laikas (nuoroda į išvesties posistemį);
Išduodančio įrenginio specifikacija [loginis išorinio įrenginio pavadinimas (numeris)], trumpas turinys (pavadinimas, tipas, šifras, kodas) ir dokumento konfidencialumo lygis;
paleidimo data ir laikas;
Registracijos parinktys apima:
Bandymo pasiekti apsaugotą failą data ir laikas, nurodant jo rezultatą: sėkmingas, nesėkmingas – neteisėtas,
Registracijos parinktys apima:
Prieiga prie subjekto ID;
Visos saugomos laikmenos turi būti apskaitytos jas pažymint ir įrašant įgaliojimus žurnale (registracijos kortelėje);
Reikėtų atlikti atlaisvintų kompiuterio RAM ir išorinių diskų sričių valymą (nulį, nuasmeninimą). Išvalymas atliekamas dvigubu atsitiktiniu įrašymu į atlaisvintą atminties sritį, kuri anksčiau buvo naudojama saugomiems duomenims (failams) saugoti.
Kriptografijos posistemis:
Visos konfidencialios informacijos, įrašytos į bendrai naudojamas (bendras) duomenų laikmenas, šifravimas įvairiais prieigos subjektais, ryšio kanaluose, taip pat ilgalaikės išorinės atminties išimamose duomenų laikmenose (diskeliuose, mikrokasetėse ir kt.), skirtose saugoti ne autorizuotų darbo seansų metu. turėtų būti atliekami.prieiga subjektai. Tokiu atveju turėtų būti atliktas automatinis išorinių atminties sričių, kuriose buvo anksčiau nešifruota informacija, atleidimas ir valymas;
Subjektų prieiga prie šifravimo operacijų ir kriptografinių raktų turi būti papildomai kontroliuojama prieigos kontrolės posistemio;
Vientisumo posistemis:
turi būti užtikrintas NSD informacijos saugos sistemos programinių priemonių, tvarkomos informacijos vientisumas, programinės aplinkos nekintamumas.
Kur:
NSD informacinės saugos informacinės sistemos vientisumas tikrinamas, kai sistema įkeliama, esant informacijos apsaugos sistemos komponentų pavadinimams (identifikatoriams);
Programinės aplinkos vientisumą užtikrina programų kūrimo ir derinimo įrankių trūkumas AS;
Turi būti vykdoma fizinė IRT (prietaisų ir informacijos laikmenų) apsauga, numatant nuolatinę teritorijos ir pastato, kuriame yra AE, apsaugą, pasitelkiant techninę apsaugos įrangą ir specialų personalą, naudojant griežta įėjimo kontrolė, speciali AE patalpų įranga;
Turėtų būti suteiktas informacijos saugumo administratorius (tarnyba), atsakingas už NSD informacijos apsaugos sistemos priežiūrą, normalų funkcionavimą ir veikimo kontrolę;
Periodinis UA informacijos apsaugos sistemos funkcijų testavimas turėtų būti atliekamas, kai keičiasi AS programinė aplinka ir personalas, naudojant testavimo programas, kurios imituoja bandymus į UA;
Turi būti prieinamos NSD informacijos apsaugos sistemos atkūrimo priemonės, numatančios dviejų NSD informacijos apsaugos sistemos programinės įrangos kopijų priežiūrą ir periodinį jų atnaujinimą bei veiklos stebėjimą;
Turi būti naudojamos sertifikuotos apsaugos priemonės. Jų sertifikavimą atlieka specialūs sertifikavimo centrai arba specializuotos įmonės, turinčios licenciją sertifikuoti SZI NSD apsaugos priemones.
2.10. Reikalavimai pirmosios grupės pranešėjams
Pavadinimai:
„-“ – šiai klasei reikalavimų nėra;
„+“ – šiai klasei keliami reikalavimai.
| Posistemės ir reikalavimai | Klasės | ||||
| 1D | 1G | 1B | 1B | 1A | |
| 1. Prieigos kontrolės posistemis | |||||
| 1.1. Objektų identifikavimas, autentifikavimas ir prieigos kontrolė: | |||||
| į sistemą | + | + | + | + | + |
| į terminalus, kompiuterius, kompiuterių tinklo mazgus, ryšio kanalus, išorinius kompiuterių įrenginius | - | + | + | + | + |
| į programas | - | + | + | + | + |
| į tomus, katalogus, failus, įrašus, įrašų laukus | - | + | + | + | + |
| 1.2. Informacijos srautų valdymas | - | - | + | + | + |
| 2. Registracijos ir apskaitos posistemis | |||||
| 2.1. Registracija ir apskaita: | |||||
| prieigos subjektų įėjimas (išėjimas) į (iš) sistemą (tinklo mazgą) | + | + | + | + | + |
| spausdintinių (grafinių) išvesties dokumentų išdavimas | - | + | + | + | + |
| programų ir procesų (užduočių, užduočių) paleidimas (užbaigimas) | - | + | + | + | + |
| prieiti prie saugomų failų subjektų programų, įskaitant jų kūrimą ir ištrynimą, perdavimą linijomis ir ryšio kanalais | - | + | + | + | + |
| prieigos subjektų programos prie terminalų, kompiuterių, kompiuterių tinklo mazgų, ryšio kanalų, išorinių kompiuterių įrenginių, programų, tomų, katalogų, failų, įrašų, įrašų laukų | - | + | + | + | + |
| keičiant prieigos subjektų įgaliojimus | - | - | + | + | + |
| sukūrė saugios prieigos objektus | - | - | + | + | + |
| 2.2. Saugojimo laikmenų apskaita | + | + | + | + | + |
| 2.3. Išlaisvintų kompiuterio RAM ir išorinių diskų sričių valymas (nulis, nuasmeninimas). | - | + | + | + | + |
| 2.4. Signalizacijos bandymai pažeisti apsaugą | - | - | + | + | + |
| 3. Kriptografinis posistemis | |||||
| 3.1. Jautrios informacijos šifravimas | - | - | - | + | + |
| 3.2. Skirtingiems prieigos subjektams (subjektų grupėms) priklausančios informacijos šifravimas naudojant skirtingus raktus | - | - | - | - | + |
| 3.3. Patvirtintų (sertifikuotų) kriptografinių priemonių naudojimas | - | - | - | + | + |
| 4. Integralumo posistemis | |||||
| 4.1. Programinės įrangos ir apdorotos informacijos vientisumo užtikrinimas | + | + | + | + | + |
| 4.2. Fizinė kompiuterinės įrangos ir informacijos laikmenų apsauga | + | + | + | + | + |
| 4.3. Informacijos apsaugos administratoriaus (paslaugos) buvimas AS | - | - | + | + | + |
| 4.4. Periodinis SZI NSD tikrinimas | + | + | + | + | + |
| 4.5. Informacijos saugumo sistemos NSD atkūrimo priemonių prieinamumas | + | + | + | + | + |
| 4.6. Sertifikuotų apsaugos priemonių naudojimas | - | - | + | + | + |
Prieigos kontrolės posistemis:
prieigos subjektų identifikavimas ir autentifikavimas turėtų būti atliekamas prisijungiant prie sistemos naudojant sąlyginį nuolatinį slaptažodį, kurio ilgis yra ne mažesnis kaip šeši raidiniai ir skaitiniai simboliai.
Registracijos ir apskaitos posistemis:
turėtų būti atliekama prieigos prie sistemos (iš sistemos) subjektų įėjimo (išėjimo) registracija arba operacinės sistemos įkėlimo ir inicijavimo bei jos programinės įrangos išjungimo registracija. Išjungimo iš sistemos ar išjungimo registracija nevykdoma AU aparatinės įrangos išjungimo metu. Registracijos parinktys apima:
Priėjimo prie sistemos (iš sistemos) subjekto įėjimo (išėjimo) arba sistemos įkėlimo (sustabdymo) data ir laikas;
Dalyko identifikatorius (kodas arba pavardė), pateiktas bandant prisijungti;
Visos saugomos laikmenos turi būti apskaitytos jas pažymint ir įvedant žurnalo kredencialus (registracijos kortelę);
Saugomų laikmenų apskaita turi būti vykdoma žurnale (bylų spintoje), registruojant jų išdavimą (priėmimą).
Vientisumo posistemis:
turi būti užtikrintas NSD informacijos saugos sistemos programinių priemonių, tvarkomos informacijos vientisumas, programinės aplinkos nekintamumas.
Kur:
Turėtų būti vykdoma fizinė SVT (prietaisų ir laikmenų) apsauga, kuri numato pašalinių asmenų patekimo į AE patalpas kontrolę, patikimų kliūčių buvimą neteisėtam patekimui į AE patalpas ir informacijos laikmenų saugojimą, ypač ne darbo valandomis;
Periodinis UA informacijos apsaugos sistemos funkcijų testavimas turėtų būti atliekamas, kai keičiasi AS programinė aplinka ir personalas, naudojant testavimo programas, kurios imituoja bandymus į UA;
Turėtų būti prieinamos NVD informacijos apsaugos sistemos atkūrimo priemonės, numatančios dviejų NSD informacijos apsaugos sistemos programinės įrangos kopijų priežiūrą ir periodinį jų atnaujinimą bei veiklos stebėjimą.
2.12. 1G saugumo klasės reikalavimai:
Prieigos kontrolės posistemis:
prieigos subjektų identifikavimas ir autentifikavimas turėtų būti atliekamas įeinant į sistemą naudojant identifikatorių (kodą) ir sąlyginai nuolatinį slaptažodį, mažiausiai šešių raidinių ir skaitinių simbolių ilgio;
Reikėtų atlikti terminalų, kompiuterių, kompiuterių tinklo mazgų, ryšio kanalų, išorinių kompiuterių įrenginių identifikavimą loginiais pavadinimais;
Reikėtų atlikti programų, tomų, katalogų, bylų, įrašų, įrašų laukų identifikavimą pagal pavadinimus;
Subjektų prieiga prie saugomų išteklių turi būti kontroliuojama pagal prieigos matricą.
Registracijos ir apskaitos posistemis:
turėtų būti atliekama prieigos prie sistemos (iš sistemos) subjektų įėjimo (išėjimo) registracija arba operacinės sistemos įkėlimo ir inicijavimo bei jos programinės įrangos išjungimo registracija. Išjungimo iš sistemos ar išjungimo registracija nevykdoma AU aparatinės įrangos išjungimo metu. Registracijos parinktys apima:
Priėjimo prie sistemos (iš sistemos) subjekto įėjimo (išėjimo) arba sistemos įkėlimo (sustabdymo) data ir laikas;
Bandymo prisijungti rezultatas: sėkmingas arba nesėkmingas – neteisėtas;
Dalyko identifikatorius (kodas arba pavardė), pateiktas bandant prisijungti;
Reikėtų užregistruoti spausdintinių (grafinių) dokumentų išdavimą „popierinei“ kopijai. Registracijos parinktys apima:
Išdavimo data ir laikas (nuoroda į išvesties posistemį);
Išduodančio įrenginio specifikaciją [loginis išorinio įrenginio pavadinimas (numeris)];
Prieigos subjekto, kuris paprašė dokumento, identifikatorius;
Programų ir procesų (užduočių, užduočių), skirtų saugomiems failams apdoroti, paleidimas (užbaigimas) turėtų būti registruojamas. Registracijos parinktys apima:
paleidimo data ir laikas;
Programos (proceso, užduoties) pavadinimas (identifikatorius);
Prieigos subjekto, kuris paprašė programos (proceso, užduoties), identifikatorius;
Paleidimo rezultatas (sėkmingas, nesėkmingas – neteisėtas);
Reikėtų registruoti programinės įrangos priemonių (programų, procesų, užduočių, užduočių) bandymus pasiekti apsaugotus failus.
Registracijos parinktys apima:
Prieiga prie subjekto ID;
Apsaugoto failo specifikacija;
Programinės įrangos prieigos bandymai turi būti registruojami prie šių papildomų saugomų prieigos objektų: terminalų, kompiuterių, kompiuterių tinklo mazgų, ryšio linijų (kanalų), išorinių kompiuterių įrenginių, programų, tomų, katalogų, failų, įrašų, įrašų laukų.
Registracijos parinktys apima:
Bandymo prieiti prie saugomo objekto data ir laikas, nurodant jo rezultatą: sėkmingas, nesėkmingas – neteisėtas;
Prieiga prie subjekto ID;
Saugomo objekto specifikacija [loginis pavadinimas (numeris)];
Visos saugomos laikmenos turi būti apskaitytos jas pažymint ir įrašant įgaliojimus žurnale (registracijos kortelėje);
Saugomų laikmenų apskaita turėtų būti vykdoma žurnale (bylų spintoje), registruojant jų išdavimą (priėmimą);
Reikėtų atlikti atlaisvintų kompiuterio RAM ir išorinių diskų sričių valymą (nulį, nuasmeninimą). Išvalymas atliekamas vienu atsitiktiniu įrašymu į atlaisvintą atminties sritį, anksčiau naudotą saugomiems duomenims (failams) saugoti;
Vientisumo posistemis:
Kur:
SZI NSD vientisumas įkraunant sistemą tikrinamas pagal SZI komponentų kontrolines sumas;
Programinės įrangos aplinkos vientisumą užtikrina aukšto lygio kalbų vertėjų naudojimas ir programų objekto kodo modifikavimo priemonių nebuvimas apdorojant ir (ar) saugomos informacijos saugojimo procese;
Turėtų būti vykdoma fizinė SVT (prietaisų ir laikmenų) apsauga, kuri numato pašalinių asmenų patekimo į AE patalpas kontrolę, patikimų kliūčių buvimą neteisėtam patekimui į AE patalpas ir informacijos laikmenų saugojimą, ypač ne darbo valandomis;
Periodinis UA informacijos apsaugos sistemos funkcijų testavimas turėtų būti atliekamas, kai keičiasi AS programinė aplinka ir personalas, naudojant testavimo programas, kurios imituoja bandymus į UA;
Turėtų būti prieinamos NVD informacijos apsaugos sistemos atkūrimo priemonės, numatančios dviejų NSD informacijos apsaugos sistemos programinės įrangos kopijų priežiūrą ir periodinį jų atnaujinimą bei veiklos stebėjimą.
2.13. 1B saugumo klasės reikalavimai:
Prieigos kontrolės posistemis:
prieigos subjektų identifikavimas ir autentifikavimas įeinant į sistemą turėtų būti atliekamas naudojant identifikatorių (kodą) ir sąlyginai nuolatinį ne trumpesnį kaip šešių raidinių ir skaitmeninių simbolių slaptažodį;
Reikėtų atlikti terminalų, kompiuterių, kompiuterių tinklo mazgų, ryšio kanalų, išorinių kompiuterių įrenginių identifikavimą pagal loginius pavadinimus ir (ar) adresus;
Reikėtų atlikti programų, tomų, katalogų, bylų, įrašų, įrašų laukų identifikavimą pagal pavadinimus;
Registracijos ir apskaitos posistemis:
Reikėtų atlikti prieigos subjektų įėjimo (išėjimo) į sistemą (iš sistemos) registraciją arba operacinės sistemos įkėlimą ir inicijavimą bei jos programinės įrangos išjungimą. Išjungimo iš sistemos ar išjungimo registracija nevykdoma AU aparatinės įrangos išjungimo metu. Registracijos parinktys apima:
Priėjimo prie sistemos (iš sistemos) subjekto įėjimo (išėjimo) arba sistemos įkėlimo (sustabdymo) data ir laikas;
Bandymo prisijungti rezultatas: sėkmingas arba nesėkmingas – neteisėtas;
Dalyko identifikatorius (kodas arba pavardė), pateiktas bandant prisijungti;
Nesėkmingo bandymo metu pateiktas kodas arba slaptažodis;
Reikėtų užregistruoti spausdintinių (grafinių) dokumentų išdavimą „popierinei“ kopijai. Išduodant turi būti automatiškai pažymimas kiekvieno dokumento lapo (puslapio) jo eilės numeris ir apskaitos rekvizitai AS, nurodant bendrą lapų (puslapių) skaičių paskutiniame dokumento lape. Registracijos parinktys apima:
Išdavimo data ir laikas (nuoroda į išvesties posistemį);
Išduodančio įrenginio specifikaciją [loginis išorinio įrenginio pavadinimas (numeris)];
Trumpas dokumento turinys (pavadinimas, tipas, kodas, kodas) ir dokumento konfidencialumo lygis;
Prieigos subjekto, kuris paprašė dokumento, identifikatorius;
Programų ir procesų (užduočių, užduočių), skirtų saugomiems failams apdoroti, paleidimas (užbaigimas) turėtų būti registruojamas. Registracijos parinktys apima:
paleidimo data ir laikas;
Programos (proceso, užduoties) pavadinimas (identifikatorius);
Prieigos subjekto, kuris paprašė programos (proceso, užduoties), identifikatorius;
Paleidimo rezultatas (sėkmingas, nesėkmingas – neteisėtas);
Bandymo pasiekti apsaugotą failą data ir laikas, nurodant jo rezultatą: sėkmingas, nesėkmingas – neteisėtas;
Prieiga prie subjekto ID;
Apsaugoto failo specifikacija;
Bandymo prieiti prie saugomo objekto data ir laikas, nurodant jo rezultatą: sėkmingas, nesėkmingas – neteisėtas;
Prieiga prie subjekto ID;
Saugomo objekto specifikacija [loginis pavadinimas (numeris)];
Sukurti apsaugoti failai turėtų būti automatiškai apskaitomi naudojant papildomą jų žymėjimą, naudojamą prieigos kontrolės posistemyje. Ženklinimas turi atspindėti objekto konfidencialumo lygį;
Visų saugomų laikmenų apskaita turi būti vykdoma jas pažymint ir įrašant įgaliojimus žurnale (registracijos kortelėje);
Saugomų laikmenų apskaita turėtų būti vykdoma žurnale (bylų spintoje), registruojant jų išdavimą (priėmimą);
Reikėtų atlikti kelių tipų saugomų laikmenų (dublikatų) apskaitą;
Apie bandymus pažeisti saugumą turi būti pranešta.
Vientisumo posistemis:
turi būti užtikrintas NSD SZI programinių įrankių vientisumas, taip pat programinės aplinkos nekintamumas.
Kur:
SZI NSD vientisumas įkraunant sistemą tikrinamas pagal SZI komponentų kontrolines sumas;
Programinės įrangos aplinkos vientisumą užtikrina aukšto lygio kalbų vertėjų naudojimas ir programų objekto kodo modifikavimo priemonių nebuvimas apdorojant ir (ar) saugant apsaugotą informaciją;
Ne rečiau kaip kartą per metus turėtų būti atliekamas periodinis visų NSD informacijos saugos sistemos funkcijų testavimas specialių programinių priemonių pagalba;
Turi būti prieinamos NSD informacijos apsaugos sistemos atkūrimo priemonės, numatančios dviejų NSD informacijos apsaugos sistemos programinės įrangos kopijų priežiūrą ir periodinį jų atnaujinimą bei veiklos stebėjimą;
Turi būti naudojamos sertifikuotos apsaugos priemonės. Jų sertifikavimą atlieka specialūs sertifikavimo centrai arba specializuotos įmonės, turinčios licenciją sertifikuoti SZI NSD apsaugos priemones.
2.14. 1B saugumo klasės reikalavimai:
Prieigos kontrolės posistemis:
Prieigos subjektai turi būti identifikuojami ir patvirtinami prisijungiant prie sistemos identifikatoriumi (kodu) ir laikinu slaptažodžiu, kurį sudaro ne mažiau kaip aštuoni raidiniai ir skaitiniai simboliai;
Terminalai, kompiuteriai, kompiuterių tinklo mazgai, ryšio kanalai, išoriniai kompiuterių įrenginiai turi būti identifikuojami pagal fizinius adresus (skaičius);
Reikėtų atlikti programų, tomų, katalogų, bylų, įrašų, įrašų laukų identifikavimą pagal pavadinimus;
Subjektų prieigos prie saugomų išteklių kontrolė turėtų būti vykdoma pagal prieigos matricą;
Informacijos srautas turėtų būti kontroliuojamas naudojant jautrumo etiketes. Tuo pačiu metu diskų konfidencialumo lygis neturi būti žemesnis už juose įrašytos informacijos konfidencialumo lygį.
Registracijos ir apskaitos posistemis:
turėtų būti atliekama prieigos prie sistemos (iš sistemos) subjektų įėjimo (išėjimo) registracija arba operacinės sistemos įkėlimo ir inicijavimo bei jos programinės įrangos išjungimo registracija. Išjungimo iš sistemos ar išjungimo registracija nevykdoma AU aparatinės įrangos išjungimo metu. Registracijos parinktys apima:
Priėjimo prie sistemos (iš sistemos) subjekto įėjimo (išėjimo) arba sistemos įkėlimo (sustabdymo) data ir laikas;
Bandymo prisijungti rezultatas: sėkmingas arba nesėkmingas – neteisėtas;
Dalyko identifikatorius (kodas arba pavardė), pateiktas bandant prisijungti;
Nesėkmingo bandymo metu pateiktas kodas arba slaptažodis;
Reikėtų užregistruoti spausdintinių (grafinių) dokumentų išdavimą „popierinei“ kopijai. Išduodant turi būti automatiškai pažymimas kiekvieno dokumento lapo (puslapio) jo eilės numeris ir apskaitos rekvizitai AS, nurodant bendrą lapų (puslapių) skaičių paskutiniame dokumento lape. Kartu su dokumento išdavimu automatiškai turi būti surašoma ir dokumento apskaitos kortelė, kurioje būtų nurodyta dokumento išdavimo data, dokumento apskaitos rekvizitai, santrauka(pavadinimas, tipas, šifras, kodas) ir dokumento konfidencialumo lygis, dokumentą išdavusio asmens vardas, pavardė, dokumento puslapių ir kopijų skaičius (nepilnai išdavus dokumentą – faktiškai išduotą). lapų skaičius stulpelyje „Santuoka“). Registracijos parinktys apima:
Išdavimo data ir laikas (nuoroda į išvesties posistemį);
Išduodančio įrenginio specifikaciją [loginis išorinio įrenginio pavadinimas (numeris)];
Trumpas dokumento turinys (pavadinimas, tipas, kodas, kodas) ir dokumento konfidencialumo lygis;
Prieigos subjekto, kuris paprašė dokumento, identifikatorius;
Faktiškai išduoto dokumento apimtis (puslapių, lapų, kopijų skaičius) ir išdavimo rezultatas, sėkmingas (visas tomas), nesėkmingas;
paleidimo data ir laikas;
Programos (proceso, užduoties) pavadinimas (identifikatorius);
Prieigos subjekto, kuris paprašė programos (proceso, užduoties), identifikatorius;
Paleidimo rezultatas (sėkmingas, nesėkmingas – neteisėtas);
Reikėtų registruoti programinės įrangos priemonių (programų, procesų, užduočių, užduočių) bandymus pasiekti apsaugotus failus. Registracijos parinktys apima:
Bandymo pasiekti apsaugotą failą data ir laikas, nurodant jo rezultatą: sėkmingas, nesėkmingas – neteisėtas;
Prieiga prie subjekto ID;
Apsaugoto failo specifikacija;
Programos (proceso, darbo, užduoties), pasiekiančios failą, pavadinimas;
Norimos operacijos tipas (skaitymas, rašymas, trynimas, vykdymas, išplėtimas ir kt.);
Programinės įrangos prieigos bandymai turi būti registruojami prie šių papildomų saugomų prieigos objektų: terminalų, kompiuterių, kompiuterių tinklo mazgų, ryšio linijų (kanalų), išorinių kompiuterių įrenginių, programų, tomų, katalogų, failų, įrašų, įrašų laukų. Registracijos parinktys apima:
Bandymo prieiti prie saugomo objekto data ir laikas, nurodant jo rezultatą: sėkmingas, nesėkmingas – neteisėtas;
Prieiga prie subjekto ID;
Saugomo objekto specifikacija [loginis pavadinimas (numeris)];
Programos (proceso, darbo, užduoties), kuri pasiekia saugomą objektą, pavadinimas;
Norimos operacijos tipas (skaityti, rašyti, prijungti, užfiksuoti ir pan.);
Reikėtų registruoti prieigos subjektų įgaliojimų ir prieigos objektų statuso pasikeitimus. Registracijos parinktys apima:
Įgaliojimų pasikeitimo data ir laikas;
Prieigos subjekto (administratoriaus), atlikusio pakeitimus, identifikatorius;
Subjekto, kurio leidimai buvo pakeisti, ID ir pakeitimo tipas (slaptažodis, kodas, profilis ir kt.);
Objekto, kurio apsaugos statusas buvo pakeistas, specifikacija ir pakeitimo tipas (apsaugos kodas, konfidencialumo lygis);
Į visas saugomas laikmenas turėtų būti atsižvelgiama ženklinant jas;
Saugomų laikmenų apskaita turėtų būti vykdoma žurnale (bylų spintoje), registruojant jų išdavimą (priėmimą);
Reikėtų atlikti kelių tipų saugomų laikmenų (dublikatų) apskaitą;
Reikėtų atlikti atlaisvintų kompiuterio RAM ir išorinių diskų sričių valymą (nulį, nuasmeninimą). Išvalymas atliekamas dvigubu savavališku įrašymu į bet kurią atlaisvintą atminties sritį, naudojamą saugomai informacijai saugoti;
Apie bandymus pažeisti saugumą reikia pranešti administratoriaus ir įsibrovėlio terminalams.
Kriptografijos posistemis:
visos konfidencialios informacijos, įrašytos į bendrai naudojamas (bendras) duomenų laikmenas skirtingų prieigos subjektų, ryšio kanaluose, taip pat ilgalaikės išorinės atminties išimamose nešiojamose duomenų laikmenose (diskeliuose, mikrokasetėse ir kt.) šifravimas, skirtas saugojimui ne darbo metu. sesijų įgalioti prieigos subjektai. Tokiu atveju turėtų būti atliktas priverstinis išorinių atminties sričių, kuriose buvo anksčiau nešifruota informacija, valymas;
Turi būti naudojamos sertifikuotos kriptografinės apsaugos priemonės. Jų sertifikavimą atlieka specialūs sertifikavimo centrai arba specializuotos įmonės, turinčios licenciją sertifikuoti kriptografinės saugos priemones.
Vientisumo posistemis:
turi būti užtikrintas NSD SZI programinių įrankių vientisumas, taip pat programinės aplinkos nekintamumas.
Kur:
NSD informacijos saugumo informacinės sistemos vientisumas tikrinamas visų informacijos apsaugos sistemos komponentų kontrolinėmis sumomis tiek įkeliant, tiek dinamiškai AS veikimo metu;
Programinės įrangos aplinkos vientisumą užtikrina programinės įrangos, skirtos saugomiems failams apdoroti, priėmimo AU kokybė;
Fizinė IRT (prietaisų ir informacijos laikmenų) apsauga turėtų būti vykdoma, numatant nuolatinę teritorijos ir pastato, kuriame yra AE, apsaugą, pasitelkiant techninę apsaugos įrangą ir specialų personalą, naudojant griežta įėjimo kontrolė, speciali AE patalpų įranga;
Turėtų būti suteiktas informacijos saugumo administratorius (tarnyba), atsakingas už NSD informacijos apsaugos sistemos priežiūrą, normalų funkcionavimą ir veikimo kontrolę. Administratorius turi turėti savo terminalą ir būtinas veiklos kontrolės ir poveikio atominės elektrinės saugai priemones;
Turėtų būti prieinamos NVD informacijos apsaugos sistemos atkūrimo priemonės, numatančios dviejų NSD informacijos apsaugos sistemos programinės įrangos kopijų priežiūrą ir periodinį jų atnaujinimą bei veiklos stebėjimą, taip pat operatyvų funkcijų atkūrimą. NSD informacijos apsaugos sistemos gedimų atveju;
Turi būti naudojamos sertifikuotos apsaugos priemonės. Jų sertifikavimą atlieka specialūs sertifikavimo centrai arba specializuotos įmonės, turinčios licenciją sertifikuoti SZI NSD apsaugos priemones.
2.15. 1A saugumo klasės reikalavimai:
Prieigos kontrolės posistemis:
prieigos subjektų identifikavimas ir autentifikavimas turėtų būti atliekamas įeinant į sistemą pagal biometrines charakteristikas arba specialius įrenginius(žetonai, kortelės, elektroniniai raktai) ir laikiną slaptažodį, sudarytą iš ne mažiau kaip aštuonių raidinių ir skaitinių simbolių;
Turėtų būti atliktas terminalų, kompiuterių, kompiuterių tinklo mazgų, ryšio kanalų, išorinių kompiuterių įrenginių identifikavimas ir autentifikavimas naudojant unikalius įmontuotus įrenginius;
Turėtų būti atliktas programų, tomų, katalogų, failų, įrašų, įrašų laukų identifikavimas ir autentifikavimas pagal pavadinimus ir kontrolines sumas (slaptažodžius, raktus);
Subjektų prieigos prie saugomų išteklių kontrolė turėtų būti vykdoma pagal prieigos matricą;
Informacijos srautas turėtų būti kontroliuojamas naudojant jautrumo etiketes. Tuo pačiu metu diskų konfidencialumo lygis neturi būti žemesnis už juose įrašytos informacijos konfidencialumo lygį.
Registracijos ir apskaitos posistemis:
Reikėtų atlikti prieigos subjektų įėjimo (išėjimo) į sistemą (iš sistemos) registraciją arba operacinės sistemos įkėlimą ir inicijavimą bei jos programinės įrangos išjungimą. Išjungus AU aparatinę įrangą, atsijungimas nuo sistemos arba išjungimas neatliekamas. Registracijos parinktys apima:
Priėjimo prie sistemos (iš sistemos) subjekto įėjimo (išėjimo) arba sistemos įkėlimo (sustabdymo) data ir laikas;
Bandymo prisijungti rezultatas: sėkmingas arba nesėkmingas – neteisėtas;
Dalyko identifikatorius (kodas arba pavardė), pateiktas bandant prisijungti;
Nesėkmingo bandymo metu pateiktas kodas arba slaptažodis;
Reikėtų užregistruoti spausdintinių (grafinių) dokumentų išdavimą „popierinei“ kopijai. Išduodant turi būti automatiškai pažymimas kiekvieno dokumento lapo (puslapio) jo eilės numeris ir apskaitos rekvizitai AS, nurodant bendrą lapų (puslapių) skaičių paskutiniame dokumento lape.
Kartu su dokumento išdavimu automatiškai turi būti surašoma dokumento registracijos kortelė, kurioje būtų nurodyta dokumento išdavimo data, dokumento apskaitos rekvizitai, santrauka (pavadinimas, tipas, kodas, kodas) ir dokumento išdavimo lygis. dokumento konfidencialumas, dokumentą išdavusio asmens vardas, pavardė, dokumento lapų ir kopijų skaičius (nepilnai išdavus dokumentą – faktiškai išduotas lapų skaičius grafoje „Santuoka“). Registracijos parinktys apima:
Išdavimo data ir laikas (nuoroda į išvesties posistemį);
Išduodančio įrenginio specifikaciją [loginis išorinio įrenginio pavadinimas (numeris)];
Prieigos subjekto, kuris paprašė dokumento, identifikatorius;
Faktiškai išduoto dokumento apimtis (puslapių, lapų, kopijų skaičius) ir išdavimo rezultatas: sėkmingas (visas tomas), nesėkmingas;
Turėtų būti atlikta visų programų ir procesų (užduočių, užduočių) paleidimo (užbaigimo) registracija AS. Registracijos parinktys apima:
paleidimo data ir laikas;
Programos (proceso, užduoties) pavadinimas (identifikatorius);
Prieigos subjekto, kuris paprašė programos (proceso, užduoties), identifikatorius;
Paleidimo rezultatas (sėkmingas, nesėkmingas – neteisėtas);
Pilna atitinkamo programos „vaizdo“ failo specifikacija (procesas, užduotis) – įrenginys (tūris, katalogas), failo pavadinimas (plėtinys);
Reikėtų registruoti programinės įrangos priemonių (programų, procesų, užduočių, užduočių) bandymus pasiekti apsaugotus failus. Registracijos parinktys apima:
Bandymo pasiekti apsaugotą failą data ir laikas, nurodant jo rezultatą: sėkmingas, nesėkmingas – neteisėtas;
Prieiga prie subjekto ID;
Apsaugoto failo specifikacija;
Programos (proceso, užduoties, užduoties), pasiekiančios failą, pavadinimas, prašomos operacijos tipas (skaitymas, rašymas, trynimas, vykdymas, išplėtimas ir kt.);
Programinės įrangos prieigos bandymai turi būti registruojami prie šių papildomų saugomų prieigos objektų: terminalų, kompiuterių, kompiuterių tinklo mazgų, ryšio linijų (kanalų), išorinių kompiuterių įrenginių, programų, tomų, katalogų, failų, įrašų, įrašų laukų. Registracijos parinktys apima:
Bandymo prieiti prie saugomo objekto data ir laikas, nurodant jo rezultatą: sėkmingas, nesėkmingas – neteisėtas;
Prieiga prie subjekto ID;
Saugomo objekto specifikacija [loginis pavadinimas (numeris)];
Programos (proceso, darbo, užduoties), kuri pasiekia saugomą objektą, pavadinimas;
Norimos operacijos tipas (skaityti, rašyti, prijungti, užfiksuoti ir pan.);
Reikėtų registruoti prieigos subjektų įgaliojimų ir prieigos objektų statuso pasikeitimus. Registracijos parinktys apima:
Įgaliojimų ir statuso pasikeitimo data ir laikas;
Prieigos subjekto (administratoriaus), atlikusio pakeitimus, identifikatorius;
Prieigos subjekto, kurio leidimai ir pakeitimų tipas (slaptažodis, kodas, profilis ir kt.) buvo pakeisti, identifikatorius;
Objekto, kurio apsaugos statusas buvo pakeistas, specifikacija ir pakeitimo tipas (apsaugos kodas, konfidencialumo lygis);
Sukurti apsaugoti failai, inicijuoti apsaugoti tomai, katalogai, saugomų failų apdorojimui skirtos kompiuterio RAM sritys, išoriniai kompiuterių įrenginiai, ryšio kanalai, kompiuteriai, kompiuterių tinklo mazgai, tinklo fragmentai turi būti automatiškai apskaitomi naudojant papildomą jų žymėjimą, naudojamą valdymo posistemio prieigose. . Ženklinimas turi atspindėti objekto konfidencialumo lygį;
Visos saugomos laikmenos turi būti apskaitytos jas pažymint ir įrašant įgaliojimus žurnale (registracijos kortelėje);
Saugomų laikmenų apskaita turėtų būti vykdoma žurnale (bylų spintoje), registruojant jų išdavimą (priėmimą);
Reikėtų atlikti kelių tipų saugomų laikmenų (dublikatų) apskaitą;
Reikėtų atlikti atlaisvintų kompiuterio RAM ir išorinių diskų sričių valymą (nulį, nuasmeninimą). Išvalymas atliekamas dvigubu savavališku įrašymu į bet kurią atlaisvintą atminties sritį, kurioje buvo saugoma informacija;
Patikimas signalizavimas apie bandymus pažeisti apsaugą turėtų būti vykdomas administratoriaus ir įsibrovėlio terminale.
Kriptografijos posistemis:
Reikėtų šifruoti visą konfidencialią informaciją, įrašytą į duomenų laikmenas, kuriomis bendrinami skirtingi prieigos subjektai (bendrinami) ryšio kanaluose, taip pat į bet kokias išimamas laikmenas (lanksčius, mikrokasetes ir kt.) ilgalaikėje išorinėje atmintyje, skirtą saugoti ne darbo seansų metu. turi būti atlikti įgalioti prieigos subjektai. Tokiu atveju išorinės atminties sritys, kuriose buvo anksčiau nešifruota informacija, turėtų būti automatiškai išvalytos;
Skirtingiems prieigos subjektams (subjektų grupėms) priklausančiai informacijai šifruoti turėtų būti naudojami skirtingi kriptografiniai raktai;
Subjektų prieiga prie šifravimo operacijų ir atitinkamų kriptografinių raktų turi būti papildomai kontroliuojama prieigos kontrolės posistemio;
Turi būti naudojamos sertifikuotos kriptografinės apsaugos priemonės. Jų sertifikavimą atlieka specialūs sertifikavimo centrai arba specializuotos įmonės, turinčios licenciją sertifikuoti kriptografinės saugos priemones.
Vientisumo posistemis:
turi būti užtikrintas NSD SZI programinių įrankių vientisumas, taip pat programinės aplinkos nekintamumas.
Kur:
NSD informacijos saugos informacinės sistemos vientisumas tikrinamas imituojant GOST 28147-89 algoritmo intarpus arba kito sertifikuoto visų informacijos saugos sistemos komponentų algoritmo kontrolines sumas tiek įkeliant, tiek dinamiškai veikiant sistemai. AS;
Programinės įrangos aplinkos vientisumą užtikrina bet kokios programinės įrangos priėmimo AS kokybė;
Fizinė IRT (prietaisų ir informacijos laikmenų) apsauga turėtų būti vykdoma, numatant nuolatinę teritorijos ir pastato, kuriame yra AE, apsaugą, pasitelkiant techninę apsaugos įrangą ir specialų personalą, naudojant griežta įėjimo kontrolė, speciali AE patalpų įranga;
Turėtų būti suteiktas informacijos saugumo administratorius (tarnyba), atsakingas už NSD informacijos apsaugos sistemos priežiūrą, normalų funkcionavimą ir veikimo kontrolę. Administratorius turi turėti savo terminalą ir būtinas veiklos kontrolės ir poveikio atominės elektrinės saugai priemones;
Periodiškai ne rečiau kaip kartą per ketvirtį turėtų būti atliekamas visų NSD informacijos saugos sistemos funkcijų testavimas specialių programinių priemonių pagalba;
Turėtų būti prieinamos SZI UA atkūrimo priemonės, numatančios dviejų IS IPS programinės įrangos kopijų priežiūrą ir jų periodinį atnaujinimą bei veikimo stebėjimą, taip pat automatinį ISS UA funkcijų atkūrimą internetu gedimų atveju;
Turi būti naudojamos sertifikuotos apsaugos priemonės. Jų sertifikavimą atlieka specialūs sertifikavimo centrai arba specializuotos įmonės, turinčios licenciją sertifikuoti SZI NSD apsaugos priemones.
2.16. Organizacinės priemonės pagal NSD informacijos saugumo sistemą AS, apdorojant ar saugant informaciją, kuri yra valstybės nuosavybė ir įslaptinta į paslaptį, turi atitikti valstybės reikalavimus atliekamų darbų slaptumui užtikrinti.
2.17. Tvarkant ar saugant AS informaciją, kuri nėra įslaptinta į paslaptį, NSD informacijos saugumo priemonės ribose, valstybinėms, kolektyvinėms, privačioms ir bendroms įmonėms, taip pat asmenims, rekomenduojamos šios organizacinės priemonės:
Konfidencialios informacijos identifikavimas ir jos dokumentavimas saugotinos informacijos sąrašo forma;
Susipažinimo subjekto įgaliojimų lygio, taip pat asmenų, kuriems ši teisė suteikiama, rato nustatymo tvarkos nustatymas;
Prieigos kontrolės taisyklių nustatymas ir vykdymas, t.y. taisyklių rinkinys, reglamentuojantis subjektų teises susipažinti su daiktais;
Prieigos subjekto supažindinimas su saugomos informacijos sąrašu ir jos įgaliojimų lygiu, taip pat su organizacine, administracine ir darbo dokumentacija, apibrėžiančia konfidencialios informacijos tvarkymo reikalavimus ir tvarką;
Iš prieigos subjekto gauti jam patikėtos konfidencialios informacijos neatskleidimo gavimą;
Objekto, kuriame yra saugoma AE (teritorijos, pastatų, patalpų, informacijos laikmenų saugyklos), apsaugos užtikrinimas, įrengiant atitinkamus postus, techninę apsaugos įrangą ar kitomis priemonėmis, kurios užkerta kelią arba labai trukdo kompiuterinės įrangos vagystėms (SVT) , informacinės laikmenos, taip pat NSD į SVT ir ryšio linijas;
AS saugumo klasės parinkimas pagal informacijos apdorojimo ypatybes (apdorojimo technologija, specifines AS veikimo sąlygas) ir jos konfidencialumo lygį;
Informacijos saugos tarnybos organizavimas (atsakingi asmenys, AS administratorius), kuri atlieka informacinių laikmenų, slaptažodžių, raktų apskaitą, saugojimą ir išdavimą, NSD informacijos saugos objekto paslaugų informacijos priežiūrą (slaptažodžių, raktų generavimas, priežiūra). prieigos kontrolės taisykles), naujos programinės įrangos, įtrauktos į AS, priėmimą, taip pat konfidencialios informacijos apdorojimo technologinio proceso eigos kontrolę ir kt.;
NSD informacijos saugumo sistemos sukūrimas, įskaitant atitinkamą organizacinę, administracinę ir veiklos dokumentaciją;
NSD informacijos saugumo priemonių priėmimo AS dalimi įgyvendinimas.
2.18. Kuriant AS, skirtą apdoroti ar saugoti informaciją, kuri yra valstybės nuosavybė ir įslaptinta į paslaptį, būtina orientuotis pagal RD „Kompiuteriai. Apsauga nuo neteisėtos prieigos prie informacijos. Apsaugos nuo neteisėtos prieigos rodikliai informacija" apie AS saugumo klases, ne žemesnes (pagal grupes) 3A, 2A, 1A, 1B, 1C ir naudoti sertifikuotą SVT:
Ne žemesnė kaip 4 klasė - AC 1B saugumo klasei;
Ne žemesnė kaip 3 klasė - AS 1B saugumo klasei;
Ne žemesnė kaip 2 klasė – AC 1A saugumo klasei.