ข้อมูลส่วนใหญ่ใน โลกสมัยใหม่แปรรูปใน ระบบอัตโนมัติอา (AS). ดังนั้น AS จึงเป็นเป้าหมายของการป้องกันที่ "ได้รับความนิยมมากที่สุด" AS ปฏิบัติการทั้งหมดที่ประมวลผลข้อมูลที่เป็นความลับตามลำดับซึ่งต้องการการปกป้องจากการเข้าถึงโดยไม่ได้รับอนุญาตจะถูกจัดประเภทตามเอกสารแนวทางของคณะกรรมการเทคนิคแห่งรัฐของรัสเซีย "ระบบอัตโนมัติ การป้องกันจากการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต การจำแนก AS และข้อกำหนดสำหรับการปกป้องข้อมูล ".

ตามเอกสารการจัดประเภทของ AU มีขั้นตอนต่อไปนี้:

1. การพัฒนาและวิเคราะห์ข้อมูลเบื้องต้น
2. การระบุคุณสมบัติหลักของ AS ที่จำเป็นสำหรับการจำแนกประเภท
3. การเปรียบเทียบสัญญาณที่ระบุของ AS กับสัญญาณที่จำแนก
4. การมอบหมาย AS ของคลาสการป้องกันข้อมูลที่เหมาะสมจากการเข้าถึงโดยไม่ได้รับอนุญาต

ข้อมูลเบื้องต้นสำหรับการจำแนกประเภทของ AU คือ:

• รายชื่อแหล่งข้อมูล AS ที่ได้รับการคุ้มครองและระดับการรักษาความลับ
• รายชื่อบุคคลที่มีสิทธิ์เข้าถึงสิ่งอำนวยความสะดวก AS ปกติ ซึ่งระบุระดับอำนาจหน้าที่ของพวกเขา
• การเข้าถึงหรือเมทริกซ์อำนาจ เข้าถึงวิชาที่เกี่ยวข้องกับทรัพยากรข้อมูลที่ได้รับการคุ้มครองของ AS
• โหมดการประมวลผลข้อมูลใน AS

ทางเลือกของคลาส AC นั้นทำโดยลูกค้าและผู้พัฒนาโดยมีส่วนร่วมของผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูล

คุณลักษณะที่กำหนดของการจัดประเภท AS มีดังต่อไปนี้:

• ความพร้อมของข้อมูลใน AS ระดับต่างๆความเป็นส่วนตัว;
• ระดับอำนาจ เข้าถึงวิชา AS สำหรับการเข้าถึงข้อมูลที่เป็นความลับ;
• โหมดการประมวลผลข้อมูลใน AS - แบบรวมหรือส่วนบุคคล

ติดตั้งแล้ว การป้องกัน AS 9 ระดับจากการเข้าถึงโดยไม่ได้รับอนุญาตสำหรับข้อมูล แต่ละชั้นมีลักษณะเฉพาะตามข้อกำหนดการป้องกันขั้นต่ำชุดหนึ่ง ชั้นเรียนแบ่งออกเป็น 3 กลุ่ม:

• กลุ่ม III - คลาส 3B และ 3A.

  คลาสสอดคล้องกับระบบอัตโนมัติที่ผู้ใช้รายหนึ่งยอมรับข้อมูลทั้งหมดใน AS ซึ่งวางไว้บนสื่อที่มีการรักษาความลับในระดับเดียวกัน

• กลุ่ม II - คลาส 2B และ 2A.

  คลาสของกลุ่มนี้สอดคล้องกับระบบอัตโนมัติที่ผู้ใช้มีสิทธิ์เข้าถึงข้อมูลทั้งหมดใน AS เหมือนกัน ประมวลผลหรือจัดเก็บไว้ในสื่อที่มีระดับการรักษาความลับต่างกัน

• กลุ่ม I - คลาส 1D, 1G, 1C, 1B และ 1A.

  ระบบอัตโนมัติเหล่านี้ประมวลผลหรือจัดเก็บข้อมูลพร้อมกัน ระดับต่างๆความเป็นส่วนตัว. ผู้ใช้บางคนไม่สามารถเข้าถึงข้อมูลทั้งหมดใน AS

น่าสนใจ เอกสารระบุ 4 ระบบย่อยเพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต:

• การควบคุมการเข้าถึง;
• การลงทะเบียนและการบัญชี
• การเข้ารหัส;
• ความซื่อสัตย์.

ขึ้นอยู่กับคลาสของ AU ข้อกำหนดสำหรับระบบย่อยที่ระบุไว้นั้นแตกต่างกันไป (ตาราง 8.1, 8.2, 8.3) ยอมรับการกำหนดต่อไปนี้:

"-" - ไม่มีข้อกำหนดสำหรับคลาสนี้

"+" - มีข้อกำหนดสำหรับคลาสนี้

ตาราง 8.1. ข้อกำหนดสำหรับ AC Group I

ระบบย่อยและข้อกำหนด	ชั้นเรียน
	1D	1G	1B	1B	1A
การควบคุมการเข้าถึงวิชา:
เข้าสู่ระบบ	+	+	+	+	+
	-	+	+	+	+
สู่โปรแกรม	-	+	+	+	+
	-	+	+	+	+
1.2. ควบคุม กระแสข้อมูล	-	-	+	+	+
2.1. การลงทะเบียนและการบัญชี:
เข้า (ออก) เข้าถึงวิชา	+	+	+	+	+
	-	+	+	+	+
	-	+	+	+	+
การเข้าถึงโปรแกรม เข้าถึงวิชา	-	+	+	+	+
การเข้าถึงโปรแกรม เข้าถึงวิชา	-	+	+	+	+
การเปลี่ยนแปลงอำนาจ เข้าถึงวิชา	-	-	+	+	+
	-	-	+	+	+
	+	+	+	+	+
	-	+	+	+	+
	-	-	+	+	+
	-	-	-	+	+
เข้าถึงวิชา	-	-	-	-	+
การเข้ารหัสหมายถึง	-	-	-	+	+
	+	+	+	+	+
	+	+	+	+	+
	-	-	+	+	+
	+	+	+	+	+
	+	+	+	+	+
	-	-	+	+	+

ตารางที่ 8.2 ข้อกำหนดสำหรับกลุ่ม AC II

ระบบย่อยและข้อกำหนด	ชั้นเรียน
	2B	2A
1. ระบบย่อยการควบคุมการเข้าออก
1.1. การระบุ การรับรองความถูกต้อง และ การควบคุมการเข้าถึงวิชา:
เข้าสู่ระบบ	+	+
ไปยังขั้ว, คอมพิวเตอร์, โหนดเครือข่ายคอมพิวเตอร์, ช่องทางการสื่อสาร, อุปกรณ์คอมพิวเตอร์ภายนอก	-	+
สู่โปรแกรม	-	+
ไปยังวอลุ่ม ไดเร็กทอรี ไฟล์ เร็กคอร์ด ฟิลด์เร็กคอร์ด	-	+
1.2. ควบคุม กระแสข้อมูล	-	+
2. ระบบย่อยการลงทะเบียนและบัญชี
2.1. การลงทะเบียนและการบัญชี:
เข้า (ออก) เข้าถึงวิชาถึง (จาก) ระบบ (โฮสต์)	+	+
การออกเอกสารส่งออก (กราฟิก) ที่พิมพ์ออกมา	-	+
การเปิดตัว (เสร็จสิ้น) โปรแกรมและกระบวนการ (งาน งาน)	-	+
การเข้าถึงโปรแกรม เข้าถึงวิชาไปยังไฟล์ที่มีการป้องกัน รวมถึงการสร้างและการลบ การส่งผ่านสายและช่องทางการสื่อสาร	-	+
การเข้าถึงโปรแกรม เข้าถึงวิชาไปยังเทอร์มินัล, คอมพิวเตอร์, โหนดเครือข่ายคอมพิวเตอร์, ช่องทางการสื่อสาร, อุปกรณ์คอมพิวเตอร์ภายนอก, โปรแกรม, ไดรฟ์ข้อมูล, ไดเร็กทอรี, ไฟล์, เรกคอร์ด, ฟิลด์บันทึก	-	+
การเปลี่ยนแปลงอำนาจ เข้าถึงวิชา	-	-
สร้างวัตถุการเข้าถึงที่ปลอดภัย	-	+
2.2. การบัญชีสำหรับสื่อบันทึกข้อมูล	+	+
การทำความสะอาด (zeroing, depersonalization) ของพื้นที่ว่าง หน่วยความจำเข้าถึงโดยสุ่มคอมพิวเตอร์และไดรฟ์ภายนอก	-	+
2.4. การส่งสัญญาณพยายามละเมิดการป้องกัน	-	-
3. ระบบย่อยการเข้ารหัส
3.1. การเข้ารหัสข้อมูลที่ละเอียดอ่อน	-	+
3.2. การเข้ารหัสข้อมูลที่เป็นของที่แตกต่างกัน เข้าถึงวิชา(กลุ่มวิชา) ในคีย์ต่างๆ	-	-
3.3. การใช้ใบรับรอง (certified) การเข้ารหัสหมายถึง	-	+
4. ระบบย่อยความสมบูรณ์
4.1. รับรองความสมบูรณ์ของซอฟต์แวร์และข้อมูลที่ประมวลผล	+	+
4.2. การป้องกันทางกายภาพของอุปกรณ์คอมพิวเตอร์และผู้ให้บริการข้อมูล	+	+
4.3. การปรากฏตัวของผู้ดูแลระบบ (บริการ) ของการปกป้องข้อมูลในAS	-	+
4.4. การทดสอบ SZI NSD . เป็นระยะ	-	+
4.5. ความพร้อมของวิธีการกู้คืนระบบรักษาความปลอดภัยข้อมูลNSD	+	+
4.6. การใช้อุปกรณ์ป้องกันที่ผ่านการรับรอง	-	+

ตารางที่ 8.3 ข้อกำหนดสำหรับกลุ่ม AC III

ระบบย่อยและข้อกำหนด	ชั้นเรียน
	3B	3A
1. ระบบย่อยการควบคุมการเข้าออก
1.1. การระบุ การรับรองความถูกต้อง และ การควบคุมการเข้าถึงวิชา:
เข้าสู่ระบบ	+	+
ไปยังขั้ว, คอมพิวเตอร์, โหนดเครือข่ายคอมพิวเตอร์, ช่องทางการสื่อสาร, อุปกรณ์คอมพิวเตอร์ภายนอก	-	-
สู่โปรแกรม	-	-
ไปยังวอลุ่ม ไดเร็กทอรี ไฟล์ เร็กคอร์ด ฟิลด์เร็กคอร์ด	-	-
1.2. ควบคุม	-	-
การเข้าถึงโปรแกรม เข้าถึงวิชาไปยังเทอร์มินัล, คอมพิวเตอร์, โหนดเครือข่ายคอมพิวเตอร์, ช่องทางการสื่อสาร, อุปกรณ์คอมพิวเตอร์ภายนอก, โปรแกรม, ไดรฟ์ข้อมูล, ไดเร็กทอรี, ไฟล์, เรกคอร์ด, ฟิลด์บันทึก	-	-
การเปลี่ยนแปลงอำนาจ เข้าถึงวิชา	-	-
สร้างวัตถุการเข้าถึงที่ปลอดภัย	-	-
2.2. การบัญชีสำหรับสื่อบันทึกข้อมูล	+	+
การทำความสะอาด (zeroing, depersonalization) ของพื้นที่ว่างของ RAM คอมพิวเตอร์และไดรฟ์ภายนอก	-	+
2.4. การส่งสัญญาณพยายามละเมิดการป้องกัน	-	-
3. ระบบย่อยการเข้ารหัส
3.1. การเข้ารหัสข้อมูลที่ละเอียดอ่อน	-	-
3.2. การเข้ารหัสข้อมูลที่เป็นของที่แตกต่างกัน เข้าถึงวิชา(กลุ่มวิชา) ในคีย์ต่างๆ	-	-
3.3. การใช้ใบรับรอง (certified) การเข้ารหัสหมายถึง	-	-
4. ระบบย่อยความสมบูรณ์
4.1. รับรองความสมบูรณ์ของซอฟต์แวร์และข้อมูลที่ประมวลผล	+	+
4.2. การป้องกันทางกายภาพของอุปกรณ์คอมพิวเตอร์และผู้ให้บริการข้อมูล	+	+
4.3. การปรากฏตัวของผู้ดูแลระบบ (บริการ) ของการปกป้องข้อมูลในAS	-	=
4.4. การทดสอบ SZI NSD . เป็นระยะ	+	+
4.5. ความพร้อมของวิธีการกู้คืนระบบรักษาความปลอดภัยข้อมูลNSD	+	+
4.6. การใช้อุปกรณ์ป้องกันที่ผ่านการรับรอง	-	+

รายละเอียดเพิ่มเติมข้อกำหนดขึ้นอยู่กับระดับความปลอดภัยได้อธิบายไว้ในเอกสารแนวทางของคณะกรรมการเทคนิคแห่งรัสเซีย "ระบบอัตโนมัติ การป้องกันจากการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต การจำแนกประเภทของ AU และข้อกำหนดสำหรับการปกป้องข้อมูล" การแก้ไขคลาสความปลอดภัย AS นั้นมีผลบังคับใช้ หากมีการเปลี่ยนแปลงเกณฑ์อย่างน้อยหนึ่งเกณฑ์ตามเกณฑ์ที่กำหนด

หาก AU ซึ่งจัดประเภทก่อนหน้านี้ รวมอยู่ในเครือข่ายคอมพิวเตอร์หรือระบบ และเชื่อมต่อกับวิธีการทางเทคนิคอื่น ๆ ด้วยสายการสื่อสารที่มีลักษณะทางกายภาพต่างๆ AU ที่เป็นผลลัพธ์จะมีมากกว่า ระดับสูงถูกจัดประเภทโดยรวม แต่ไม่มีการจัดประเภทสำหรับ AS ระดับล่าง

หาก AS ของคลาสความปลอดภัยต่างกันรวมกัน ดังนั้น AS ที่รวมเข้าด้วยกันควรจัดประเภทตามคลาสความปลอดภัยสูงสุดของ AS ที่รวมอยู่ในนั้น ยกเว้นเมื่อรวมกันผ่านไฟร์วอลล์ เมื่อ AS ที่รวมกันแต่ละรายการสามารถรักษาคลาสความปลอดภัยของตนเองได้ .

เอกสารแนะแนว
ระบบอัตโนมัติ
การป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต
การจำแนกประเภทของระบบอัตโนมัติและข้อกำหนดด้านความปลอดภัยของข้อมูล

อนุมัติโดยการตัดสินใจของประธานคณะกรรมการเทคนิคแห่งรัฐภายใต้ประธานาธิบดี สหพันธรัฐรัสเซีย 30 มีนาคม 1992

1. การจำแนกประเภท AC
2. ข้อกำหนดสำหรับการปกป้องข้อมูลจากการเข้าถึงโดยไม่ได้รับอนุญาตสำหรับ AU

เอกสารคำแนะนำนี้กำหนดประเภทของระบบอัตโนมัติเพื่อป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต และข้อกำหนดสำหรับการปกป้องข้อมูลใน AU ของคลาสต่างๆ

เอกสารคำแนะนำได้รับการพัฒนาเพิ่มเติมจาก GOST 34.003-90, GOST 34.601-90, RD 50-680-88, RD 50-34.680-90 และเอกสารอื่น ๆ

เอกสารนี้สามารถใช้เป็นเอกสารกำกับดูแลและระเบียบวิธีสำหรับลูกค้าและนักพัฒนา AS ในการกำหนดและการดำเนินการตามข้อกำหนดด้านการป้องกัน

ตัวย่อที่ยอมรับ

AS - ระบบอัตโนมัติ
NSD - การเข้าถึงโดยไม่ได้รับอนุญาต
RD - เอกสารแนะนำ
SZI - ระบบรักษาความปลอดภัยข้อมูล
SZI NSD - ระบบสำหรับปกป้องข้อมูลจากการเข้าถึงโดยไม่ได้รับอนุญาต

1. การจำแนกประเภท AC

1.1. การจัดประเภทใช้กับ AS ที่ดำเนินการและคาดการณ์ทั้งหมดของสถาบัน องค์กร และองค์กรที่ประมวลผลข้อมูลที่เป็นความลับ

1.2. การแบ่ง AS ออกเป็นคลาสที่เหมาะสมตามเงื่อนไขของการดำเนินงานจากมุมมองของการปกป้องข้อมูลมีความจำเป็นเพื่อพัฒนาและใช้มาตรการที่เหมาะสมเพื่อให้ได้ระดับการป้องกันข้อมูลที่ต้องการ

1.3. ความแตกต่างของแนวทางในการเลือกวิธีการและวิธีการป้องกันนั้นพิจารณาจากความสำคัญของข้อมูลที่กำลังประมวลผล ความแตกต่างในองค์ประกอบ โครงสร้าง วิธีการประมวลผลข้อมูล องค์ประกอบเชิงปริมาณและเชิงคุณภาพของผู้ใช้และเจ้าหน้าที่บำรุงรักษา

1.4. ขั้นตอนหลักของการจัดหมวดหมู่ AS คือ:
- การพัฒนาและวิเคราะห์ข้อมูลเบื้องต้น
- การระบุคุณสมบัติหลักของ AU ที่จำเป็นสำหรับการจำแนกประเภท
- การเปรียบเทียบสัญญาณที่ระบุของ AS กับสัญญาณที่จำแนก
- กำหนดระดับการป้องกันข้อมูลที่เหมาะสมจากการเข้าถึง AU โดยไม่ได้รับอนุญาต

1.5. ข้อมูลเริ่มต้นที่จำเป็นสำหรับการจำแนก AS เฉพาะคือ:
- รายการทรัพยากรข้อมูลที่ได้รับการคุ้มครองของ AU และระดับการรักษาความลับ
- รายชื่อบุคคลที่สามารถเข้าถึงสิ่งอำนวยความสะดวก NPP มาตรฐานซึ่งระบุระดับอำนาจหน้าที่ของตน
- เมทริกซ์ของการเข้าถึงหรืออำนาจของอาสาสมัครที่เกี่ยวข้องกับการเข้าถึงทรัพยากรข้อมูลที่ได้รับการคุ้มครองของ AS;
- โหมดการประมวลผลข้อมูลใน AS

1.6. ทางเลือกของคลาส AC นั้นทำโดยลูกค้าและผู้พัฒนาโดยมีส่วนร่วมของผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูล

1.7. ในบรรดาคุณสมบัติการกำหนดตามที่ AS ถูกจัดกลุ่มเป็นคลาสต่างๆ ได้แก่ :
- การปรากฏตัวใน AS ของข้อมูลในระดับต่างๆ ของการรักษาความลับ
- ระดับอำนาจหน้าที่ของอาสาสมัครในการเข้าถึงข้อมูลที่เป็นความลับ;
- โหมดการประมวลผลข้อมูลใน AU - แบบรวมหรือแบบบุคคล

1.8. มีการจัดตั้งการรักษาความปลอดภัย AS เก้าประเภทตั้งแต่ NSD ไปจนถึงข้อมูล

แต่ละชั้นมีลักษณะเฉพาะตามข้อกำหนดการป้องกันขั้นต่ำชุดหนึ่ง

ชั้นเรียนแบ่งออกเป็นสามกลุ่ม ซึ่งแตกต่างกันในคุณสมบัติของการประมวลผลข้อมูลใน AS

ภายในแต่ละกลุ่ม ลำดับชั้นของข้อกำหนดในการป้องกันนั้นขึ้นอยู่กับค่า (การรักษาความลับ) ของข้อมูล และลำดับชั้นของคลาสความปลอดภัย AS

1.9. กลุ่มที่สามรวมถึง AS ซึ่งผู้ใช้รายหนึ่งได้รับการยอมรับในข้อมูลทั้งหมดของ AS ซึ่งวางไว้บนสื่อที่มีการรักษาความลับในระดับเดียวกัน กลุ่มประกอบด้วยสองคลาส - 3B และ 3A

กลุ่มที่สองรวมถึง AS ซึ่งผู้ใช้มีสิทธิ์ในการเข้าถึง (หน่วยงาน) เดียวกันกับข้อมูล AS ทั้งหมดที่ประมวลผลและ (หรือ) ที่จัดเก็บไว้ในสื่อที่มีระดับการรักษาความลับต่างกัน กลุ่มประกอบด้วยสองคลาส - 2B และ 2A

กลุ่มแรกประกอบด้วย AS ที่มีผู้ใช้หลายคน ซึ่งประมวลผลและ (หรือ) จัดเก็บข้อมูลที่มีระดับความลับต่างกันไปพร้อม ๆ กัน ผู้ใช้บางรายอาจไม่มีสิทธิ์เข้าถึงข้อมูล AS ทั้งหมด กลุ่มประกอบด้วยห้าคลาส - 1D, 1G, 1C, 1B และ 1A

2. ข้อกำหนดสำหรับการปกป้องข้อมูลจากการเข้าถึงโดยไม่ได้รับอนุญาตสำหรับ AU

2.1. การปกป้องข้อมูลจากการเข้าถึงโดยไม่ได้รับอนุญาตถือเป็นส่วนสำคัญของปัญหาทั่วไปในการรับรองความปลอดภัยของข้อมูล มาตรการป้องกันข้อมูลจากการเข้าถึงโดยไม่ได้รับอนุญาต ควรดำเนินการร่วมกับมาตรการเพื่อ ความคุ้มครองพิเศษวิธีการหลักและเสริมของเทคโนโลยีคอมพิวเตอร์ วิธีการ และระบบสื่อสารจาก วิธีการทางเทคนิคหน่วยสืบราชการลับและการจารกรรมทางอุตสาหกรรม

2.2. ในกรณีทั่วไป ชุดเครื่องมือซอฟต์แวร์และฮาร์ดแวร์และโซลูชันสำหรับองค์กร (ขั้นตอน) สำหรับการปกป้องข้อมูลจาก UA จะถูกนำไปใช้ภายในกรอบงานของระบบป้องกันข้อมูลกับ UA (SIS UA) โดยประกอบด้วยระบบย่อยสี่ระบบตามเงื่อนไขต่อไปนี้:
- การควบคุมการเข้าถึง;
- การลงทะเบียนและการบัญชี
- การเข้ารหัส;
- รับรองความสมบูรณ์
2.3. ขึ้นอยู่กับคลาส NPP ภายในระบบย่อยเหล่านี้ ข้อกำหนดจะต้องดำเนินการตามย่อหน้า 2.4, 2.7 และ 2.10. ข้อกำหนดเหล่านี้มีรายละเอียดในย่อหน้า 2.5, 2.6, 2.8, 2.9 และ 2.11-2.15

2.4. ข้อกำหนดสำหรับผู้พูดของกลุ่มที่สาม
การกำหนด:
- "-" - ไม่มีข้อกำหนดสำหรับคลาสนี้
- "+" - มีข้อกำหนดสำหรับคลาสนี้

ระบบย่อยและข้อกำหนด
1. ระบบย่อยการควบคุมการเข้าออก
1.1. การระบุ การรับรองความถูกต้อง และการควบคุมการเข้าถึงของอาสาสมัคร:
เข้าสู่ระบบ
ไปยังขั้ว, คอมพิวเตอร์, โหนดเครือข่ายคอมพิวเตอร์, ช่องทางการสื่อสาร, อุปกรณ์คอมพิวเตอร์ภายนอก
สู่โปรแกรม
ไปยังวอลุ่ม ไดเร็กทอรี ไฟล์ เร็กคอร์ด ฟิลด์เร็กคอร์ด
1.2. การจัดการการไหลของข้อมูล
2. ระบบย่อยการลงทะเบียนและบัญชี
2.1. การลงทะเบียนและการบัญชี:
การเข้า (ออก) ของหัวข้อการเข้าถึงไปยัง (จาก) ระบบ (โหนดเครือข่าย)
การออกเอกสารส่งออก (กราฟิก) ที่พิมพ์ออกมา
การเปิดตัว (เสร็จสิ้น) โปรแกรมและกระบวนการ (งาน งาน)
เข้าถึงโปรแกรมของหัวข้อการเข้าถึงไฟล์ที่ได้รับการป้องกัน รวมถึงการสร้างและการลบ การส่งผ่านสายและช่องทางการสื่อสาร
เข้าถึงโปรแกรมของหัวข้อการเข้าถึงไปยังเทอร์มินัล, คอมพิวเตอร์, โหนดเครือข่ายคอมพิวเตอร์, ช่องทางการสื่อสาร, อุปกรณ์คอมพิวเตอร์ภายนอก, โปรแกรม, โวลุ่ม, ไดเร็กทอรี, ไฟล์, เรคคอร์ด, ฟิลด์ของเรคคอร์ด
เปลี่ยนพลังของวิชาที่เข้าถึงได้
สร้างวัตถุการเข้าถึงที่ปลอดภัย
2.2. การบัญชีสำหรับสื่อบันทึกข้อมูล
2.3. การทำความสะอาด (zeroing, depersonalization) ของพื้นที่ว่างของ RAM คอมพิวเตอร์และไดรฟ์ภายนอก
2.4. การส่งสัญญาณพยายามละเมิดการป้องกัน
3. ระบบย่อยการเข้ารหัส
3.1. การเข้ารหัสข้อมูลที่ละเอียดอ่อน
3.2. การเข้ารหัสข้อมูลที่เป็นของหัวข้อการเข้าถึงต่างๆ (กลุ่มวิชา) โดยใช้คีย์ที่แตกต่างกัน
3.3. การใช้เครื่องมือเข้ารหัส (รับรอง) ที่ได้รับการรับรอง
4. ระบบย่อยความสมบูรณ์
4.1. รับรองความสมบูรณ์ของซอฟต์แวร์และข้อมูลที่ประมวลผล
4.2. การป้องกันทางกายภาพของอุปกรณ์คอมพิวเตอร์และผู้ให้บริการข้อมูล
4.3. การปรากฏตัวของผู้ดูแลระบบ (บริการ) ของการปกป้องข้อมูลในAS
4.4. การทดสอบ SZI NSD . เป็นระยะ
4.5. ความพร้อมของวิธีการกู้คืนระบบรักษาความปลอดภัยข้อมูลNSD
4.6. การใช้อุปกรณ์ป้องกันที่ผ่านการรับรอง

การปกป้องข้อมูลจากการเข้าถึงโดยไม่ได้รับอนุญาตถือเป็นส่วนสำคัญของปัญหาทั่วไปในการรับรองความปลอดภัยของข้อมูล มาตรการในการปกป้องข้อมูลจากการเข้าถึงโดยไม่ได้รับอนุญาตควรดำเนินการร่วมกับมาตรการสำหรับการป้องกันพิเศษของวิธีการหลักและเสริมของเทคโนโลยีคอมพิวเตอร์จาก PEMIN
โซลูชันซอฟต์แวร์และฮาร์ดแวร์ที่ซับซ้อนและองค์กร (ขั้นตอน) สำหรับการปกป้องข้อมูลจาก UA ถูกนำมาใช้ภายในกรอบงานของระบบป้องกันข้อมูลกับ UA (SZI UA) ซึ่งประกอบด้วยระบบย่อยสี่ระบบตามเงื่อนไข: การควบคุมการเข้าถึง การลงทะเบียนและการบัญชี การเข้ารหัส; ความซื่อสัตย์.
เจ้าของ (เจ้าของ) ข้อมูลที่เป็นความลับของ AS โดยมีส่วนร่วมของคณะกรรมการผู้เชี่ยวชาญและผู้มีส่วนได้ส่วนเสีย เลือกระดับการป้องกันที่ยอมรับได้ของ AS จากการเข้าถึงโดยไม่ได้รับอนุญาต (หากจำเป็น โดยมีส่วนร่วมของผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูล) โดยพิจารณาจาก เงื่อนไขและโหมดการทำงานของ AS และความน่าเชื่อถือที่จำเป็นของการปกป้องข้อมูล การจัดประเภทความปลอดภัย AS ที่เลือกถูกร่างขึ้นโดยการกระทำและได้รับการอนุมัติจากเจ้าของ (เจ้าของ) ของคอน
ข้อมูลที่เป็นความลับ AS.
ในบรรดาคุณสมบัติการกำหนดตามที่ AS ถูกจัดกลุ่มเป็นคลาสต่างๆ ได้แก่ :
การปรากฏตัวใน AS ของข้อมูลระดับต่างๆ ของการรักษาความลับ ระดับอำนาจหน้าที่ของอาสาสมัครในการเข้าถึงข้อมูลที่เป็นความลับ
โหมดการประมวลผลข้อมูลใน AS: แบบรวมหรือแบบบุคคล องค์ประกอบเฉพาะของระบบป้องกันข้อมูล NSD ถูกกำหนดตามระดับความปลอดภัยที่เลือกสำหรับ AU นี้ตามเอกสาร "ระบบอัตโนมัติ การป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต การจำแนกประเภทของระบบอัตโนมัติและข้อกำหนดสำหรับการปกป้องข้อมูล”
ขึ้นอยู่กับเงื่อนไขของ AS เฉพาะซึ่งกำหนดโดยระดับความปลอดภัยที่กำหนดไว้ของ AS เป็นหลักภายในกรอบของการควบคุมการเข้าถึง การลงทะเบียนและการบัญชี ความสมบูรณ์และระบบย่อยของระบบย่อยการเข้ารหัส ขอแนะนำให้ใช้ (ดำเนินการ) ฟังก์ชันต่อไปนี้ - ข้อกำหนด สำหรับชั้นเรียนที่เกี่ยวข้อง
ระบบย่อยการควบคุมการเข้าใช้ควรรวมถึงวิธีการระบุตัวตน การรับรองความถูกต้อง (การรับรองความถูกต้อง) และการควบคุมการเข้าถึงของผู้ใช้และโปรแกรมของพวกเขาไปยังทรัพยากรต่อไปนี้: ไปยังระบบ; ไปยังขั้ว;
ไปยังคอมพิวเตอร์ (PC), โหนดเครือข่ายคอมพิวเตอร์ (PC); สู่ช่องทางการสื่อสาร
ไปยังอุปกรณ์ภายนอกของคอมพิวเตอร์ (PC);
ไปยังโปรแกรมไปยังวอลุ่ม ไดเร็กทอรี ไฟล์ เร็กคอร์ด ฟิลด์ของเรคคอร์ด องค์ประกอบของการระบุตัวตน การรับรองความถูกต้อง และการควบคุมการเข้าถึงทรัพยากรจะถูกนำไปใช้หาก AS มีทรัพยากรที่ระบุและหากผู้ใช้บางคนไม่ได้รับอนุญาตให้เข้าถึง การควบคุมการเข้าถึงของอาสาสมัครในทรัพยากรที่ได้รับการคุ้มครองนั้นดำเนินการตามเมทริกซ์การเข้าถึง
นอกเหนือจากเครื่องมือควบคุมการเข้าถึงแล้ว ระบบย่อยนี้ควรมีการรักษาความลับของข้อมูลในหลายระดับด้วย เช่น การควบคุมการถ่ายโอนข้อมูลระหว่างทรัพยากรที่จัดตั้งขึ้นอย่างเคร่งครัด (ผู้ให้บริการ) โดยคำนึงถึงความพร้อมใช้งานของการอนุญาตสำหรับประเภทนี้ ของการแลกเปลี่ยน การไหลของข้อมูลถูกควบคุมโดยใช้ป้ายกำกับระดับความลับ ในเวลาเดียวกัน ระดับการรักษาความลับของวัตถุที่ได้รับการคุ้มครอง (ไดรฟ์) ต้องไม่ต่ำกว่าระดับการรักษาความลับของข้อมูลที่บันทึกไว้
ระบบย่อยการลงทะเบียนและการบัญชีควรรวมถึงวิธีการลงทะเบียนและการบัญชีสำหรับเหตุการณ์และ / หรือทรัพยากรต่อไปนี้:
เข้าสู่ระบบ/ออกจากระบบของผู้ใช้ไปยัง/จากระบบ (โหนดเครือข่าย); การออกสิ่งพิมพ์ (เอกสารแสดงผลกราฟิก;
เริ่ม/หยุดโปรแกรม n กระบวนการ (งาน งาน) โดยใช้ไฟล์ที่ได้รับการป้องกัน
การเข้าถึงโปรแกรมผู้ใช้ไปยังไฟล์ที่มีการป้องกัน รวมถึงการสร้างและการลบ การส่งผ่านสายและช่องทางการสื่อสาร
การเข้าถึงโปรแกรมผู้ใช้ไปยังเทอร์มินัล คอมพิวเตอร์ โหนดเครือข่ายคอมพิวเตอร์ ช่องทางการสื่อสารและสาย อุปกรณ์คอมพิวเตอร์ภายนอก โปรแกรม วอลุ่ม ไดเร็กทอรี การเปลี่ยนแปลงอำนาจของหัวข้อการเข้าถึง; สร้างวัตถุการเข้าถึงที่ปลอดภัย การบัญชีสำหรับผู้ให้บริการข้อมูล นอกจากนี้ ระบบย่อยนี้ควรรวมถึงวิธีการล้าง (zeroing, depersonalizing) พื้นที่ของ RAM คอมพิวเตอร์และไดรฟ์ภายนอกที่ใช้ในการประมวลผลและ/หรือจัดเก็บข้อมูลที่ได้รับการป้องกัน
ระบบย่อยการเข้ารหัสควรจัดให้มีการเข้ารหัสข้อมูลที่เป็นความลับที่บันทึกไว้ในผู้ให้บริการข้อมูลที่ใช้ร่วมกัน (ที่ใช้ร่วมกัน) โดยหัวข้อการเข้าถึงที่แตกต่างกัน เช่นเดียวกับผู้ให้บริการข้อมูลที่ถอดออกได้ (เทป ดิสก์ ฟลอปปีดิสก์ ไมโครคาสเซ็ต ฯลฯ) ของหน่วยความจำภายนอกระยะยาวสำหรับ การจัดเก็บนอกช่วงการทำงาน หัวข้อที่ได้รับอนุญาตในการเข้าถึง การเข้าถึงการดำเนินการเข้ารหัสและ/หรือคีย์การเข้ารหัสจะต้องควบคุมโดยระบบย่อยการควบคุมการเข้าถึง ในกรณีนี้ ต้องใช้วิธีการป้องกันการเข้ารหัสที่ผ่านการรับรอง การรับรองจะดำเนินการโดยศูนย์รับรองพิเศษหรือองค์กรเฉพาะทางที่ได้รับใบอนุญาตให้รับรองเครื่องมือรักษาความปลอดภัยแบบเข้ารหัสลับ
ระดับของการดำเนินการตามหน้าที่ของระบบรักษาความปลอดภัยข้อมูลของ NSD ควรรับรองความสมบูรณ์สำหรับโหมดการทำงานของ NPP ทุกรูปแบบ
ระบบย่อยเพื่อรับรองความสมบูรณ์ของระบบรักษาความปลอดภัยข้อมูล NSD เป็นสิ่งจำเป็นสำหรับระบบรักษาความปลอดภัยข้อมูลใดๆ และรวมถึงองค์กร ซอฟต์แวร์และฮาร์ดแวร์ ตลอดจนวิธีการและวิธีการอื่นๆ ที่ให้:
การป้องกันทางกายภาพของ ICT (อุปกรณ์และผู้ให้บริการข้อมูล) อาณาเขตและอาคารที่ J1C ตั้งอยู่โดยใช้อุปกรณ์รักษาความปลอดภัยทางเทคนิคและบุคลากรพิเศษ การควบคุมการเข้าออกอย่างเข้มงวด อุปกรณ์พิเศษของสถานที่ NPP
ความไม่พร้อมใช้งานของการควบคุมการเข้าถึง การบัญชี และการควบคุมโดยผู้ใช้เพื่อแก้ไข บล็อก หรือปิดใช้งาน
ควบคุมความสมบูรณ์ของ AS และซอฟต์แวร์รักษาความปลอดภัยข้อมูลสำหรับการเปลี่ยนแปลงที่ไม่ได้รับอนุญาต
การทดสอบฟังก์ชั่นของระบบรักษาความปลอดภัยข้อมูลของ NSD เป็นระยะและ / หรือแบบไดนามิกโดยใช้เครื่องมือซอฟต์แวร์พิเศษ
การปรากฏตัวของผู้ดูแลระบบ (บริการ) ของการปกป้องข้อมูลที่รับผิดชอบในการบำรุงรักษาการทำงานปกติและการควบคุมการทำงานของระบบรักษาความปลอดภัยข้อมูลของ NSD การฟื้นฟูระบบรักษาความปลอดภัยข้อมูลของ NSD ในกรณีที่เกิดความล้มเหลวและล้มเหลว
การใช้วิธีการและวิธีการป้องกันที่ผ่านการรับรอง (รับรอง) ซึ่งการรับรองจะดำเนินการโดยการรับรองพิเศษ
ศูนย์หรือองค์กรเฉพาะทางที่มีใบอนุญาตในการรับรองวิธีการป้องกัน NSD SZI สำหรับคลาสความปลอดภัยต่ำจะได้รับอนุญาตให้ทำการรับรองโดยองค์กร (เจ้าของ)
ต้องมีการควบคุมสภาพแวดล้อมซอฟต์แวร์ของเครื่องมือทั่วทั้งระบบและ SZI NSD ที่ยอมรับสำหรับการดำเนินงาน สำหรับ AS แต่ละรายการที่ประมวลผลข้อมูลที่เป็นความลับ ความสมบูรณ์ของสภาพแวดล้อมซอฟต์แวร์นั้นรับประกันโดยคุณภาพของการยอมรับซอฟต์แวร์ AS ที่ออกแบบมาเพื่อประมวลผลข้อมูลที่เป็นความลับ
การสร้างเครื่องมือรักษาความปลอดภัยข้อมูลที่ตรงตามข้อกำหนดที่ระบุไว้ในทางปฏิบัตินั้นดำเนินการภายในฮาร์ดแวร์และโปรแกรมควบคุมของระบบปฏิบัติการคอมพิวเตอร์ (PC) รวมถึงเครื่องมือซอฟต์แวร์ที่ขยายขีดความสามารถของระบบปฏิบัติการหากใช้งาน

เพิ่มเติมในหัวข้อ 8.2 ข้อกำหนดสำหรับระบบการปกป้องข้อมูลจากการเข้าถึงโดยไม่ได้รับอนุญาต:

1. 8.3. ข้อกำหนดสำหรับระบบป้องกันข้อมูลจากการสกัดกั้นของรังสีแม่เหล็กไฟฟ้าและรถปิคอัพ (PEMIN)
2. 6.1. โครงสร้างระบบการขออนุญาตเข้าถึงข้อมูลที่เป็นความลับทางการค้าขององค์กร
3. 3.3. รูปแบบของภัยคุกคามต่อระบบป้องกันข้อมูลของเว็บไซต์ของทางการสหพันธรัฐรัสเซีย
4. 8. การปกป้องข้อมูลที่มีความลับทางการค้าระหว่างการประมวลผลและการจัดเก็บในระบบอัตโนมัติ
5. แอปพลิเคชัน. รูปแบบของภัยคุกคามที่เป็นไปได้ต่อระบบป้องกันข้อมูลของเว็บไซต์ของหน่วยงาน
6. การดำเนินการของการศึกษาดังกล่าวมีเงื่อนไขควบคู่ไปกับการวิเคราะห์ประเด็นอื่น ๆ โดยความจำเป็นในการรับรองความปลอดภัยของแหล่งข้อมูลตลอดจนภัยคุกคามที่เพิ่มขึ้นต่อความมั่นคงของชาติของสหพันธรัฐรัสเซียในด้านข้อมูลอันเนื่องมาจาก การเข้าถึงแหล่งข้อมูลโดยไม่ได้รับอนุญาต และขัดขวางการทำงานปกติของระบบสารสนเทศและโทรคมนาคม ในเรื่องนี้การวิเคราะห์ประสิทธิภาพของระบบรักษาความปลอดภัยข้อมูลของเว็บไซต์ของหน่วยงานกลายเป็นขั้นตอนบังคับในการสร้าง

มาตรฐาน ISO 15408 ที่อธิบายเกณฑ์สำหรับการประเมินความปลอดภัยเป็นขั้นตอนใหม่ในการดำเนินการตามกรอบการกำกับดูแลสำหรับการประเมินความปลอดภัยด้านไอที ตามมาตรฐานนี้ แต่ละรัฐได้ปรับให้เข้ากับความเป็นจริงและแนวโน้มของตนเอง

คลาสความปลอดภัยสำหรับอุปกรณ์คอมพิวเตอร์

ตาม เอกสารกฎเกณฑ์«หมายถึงเทคโนโลยีคอมพิวเตอร์ การป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต ตัวบ่งชี้ความปลอดภัยจากการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต "สามารถแยกแยะได้ เจ็ดเกรดความปลอดภัยของสิ่งอำนวยความสะดวกคอมพิวเตอร์ (SVT) จากข้อมูล ระดับสูงสุดคืออันดับหนึ่ง ต่ำสุดคืออันดับที่เจ็ด คลาสแบ่งออกเป็น 4 กลุ่มที่แตกต่างกันในระดับคุณภาพของความปลอดภัย:

• กลุ่มที่สี่มีลักษณะการป้องกันที่ผ่านการตรวจสอบและมีเพียงชั้นหนึ่งเท่านั้น
• กลุ่มที่สามมีลักษณะการป้องกันที่บังคับและมีคลาส 4,3 และ2
• กลุ่มที่สองมีลักษณะการคุ้มครองตามดุลยพินิจและมีเกรด 6 และ 5
• กลุ่มแรกมีแค่ชั้น ป.7

ขึ้นอยู่กับการจัดประเภทความปลอดภัยของข้อมูลในระบบ AS ตำแหน่งของอ็อบเจ็กต์และเงื่อนไขการใช้งาน คลาสความปลอดภัยบางอย่างจะถูกเลือก ตารางที่ 1 แสดงรายการตัวบ่งชี้ตามคลาสความปลอดภัย CBT การกำหนด:

• » — «: ไม่มีข้อกำหนดคลาส
• » + «: ข้อกำหนดใหม่หรือเพิ่มเติม
• » = «: ข้อกำหนดเหมือนกับข้อกำหนดของคลาสก่อนหน้า

ตารางที่ 1

ชื่อของตัวบ่งชี้	6	5	4	3	2	1
หลักการควบคุมการเข้าถึงตามดุลยพินิจ	+	+	+	=	+	=
หลักการบังคับของการควบคุมการเข้าถึง	—	—	+	=	=	=
ล้างหน่วยความจำ	—	+	+	+	=	=
การแยกโมดูล	—	—	+	=	+	=
เครื่องหมายเอกสาร	—	—	+	=	=	=
การป้องกันอินพุตและเอาต์พุตไปยังสื่อทางกายภาพที่แปลกแยกได้	—	—	+	=	=	=
การเชื่อมโยงผู้ใช้กับอุปกรณ์	—	—	+	=	=	=
การระบุและรับรองความถูกต้อง	+	=	+	=	=	=
การประกันการออกแบบ	—	+	+	+	+	+
การลงทะเบียน	—	+	+	+	=	=
การโต้ตอบของผู้ใช้กับ CSP	—	—	—	+	=	=
การกู้คืนที่เชื่อถือได้	—	—	—	+	=	=
ความซื่อสัตย์ของ KSZ	—	+	+	+	=	=
การควบคุมการดัดแปลง	—	—	—	—	+	=
การควบคุมการกระจาย	—	—	—	—	+	=
การรับประกันสถาปัตยกรรม	—	—	—	—	—	+
การทดสอบ	+	+	+	+	+	=
คู่มือผู้ใช้	+	=	=	=	=	=
คู่มือ QPS	+	+	=	+	+	=
เอกสารการทดสอบ	+	+	+	+	+	=
เอกสารการออกแบบ (โครงการ)	+	+	+	+	+	+

ชุดข้อกำหนดด้านประสิทธิภาพที่ระบุสำหรับแต่ละคลาสคือ จำเป็นน้อยที่สุด. ชั้นประถมศึกษาปีที่เจ็ดมอบหมายให้กับ SVT เหล่านั้นซึ่งข้อกำหนดในการปกป้องข้อมูลจากการเข้าถึงโดยไม่ได้รับอนุญาตนั้นต่ำกว่าระดับของเกรดหก

คลาสความปลอดภัยสำหรับระบบอัตโนมัติ

ระบบอัตโนมัติ

ฐานเชิงบรรทัดฐานคือเอกสาร «ระบบอัตโนมัติ การป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต การจำแนกประเภทของระบบอัตโนมัติและข้อกำหนดสำหรับการปกป้องข้อมูล การจำแนกประเภทของระบบอัตโนมัติและข้อกำหนดสำหรับการปกป้องข้อมูล ". ความแตกต่างของแนวทางในการกำหนดวิธีการและวิธีการป้องกันขึ้นอยู่กับข้อมูลที่กำลังประมวลผล องค์ประกอบของ AS โครงสร้างของ AS องค์ประกอบเชิงคุณภาพและเชิงปริมาณของผู้ใช้และเจ้าหน้าที่บำรุงรักษา หลัก ขั้นตอนของการจำแนก ASเป็น:

• การสร้างและวิเคราะห์ข้อมูลเบื้องต้น
• ค้นหาคุณสมบัติหลักของ AS ที่จำเป็นสำหรับการจำแนกประเภท
• การวิเคราะห์คุณสมบัติที่ระบุ
• กำหนดระดับการป้องกันบางอย่างให้กับผู้พูด

พารามิเตอร์หลักสำหรับกำหนดคลาสความปลอดภัย AS ได้แก่:

• ระดับการรักษาความลับของข้อมูลใน AS
• ระดับอำนาจของอาสาสมัครในการเข้าถึงข้อมูลที่เป็นความลับ
• โหมดการประมวลผลข้อมูลใน AS (ส่วนรวมหรือส่วนบุคคล)

จัดสรร เก้าชั้นเรียนความปลอดภัยของ AS จากการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต แต่ละชั้นมีข้อกำหนดการป้องกันขั้นต่ำ คลาสสามารถแบ่งออกเป็น 3 กลุ่ม แต่ละกลุ่มมีลำดับชั้นของตนเอง

• กลุ่มที่สาม - กำหนดงานของผู้ใช้รายหนึ่งที่ยอมรับข้อมูลทั้งหมดของ AS ซึ่งวางไว้บนสื่อที่มีการรักษาความลับในระดับเดียวกัน กลุ่มมีสองคลาส - 3B และ 3A
• กลุ่มที่สอง - กำหนดงานของผู้ใช้ที่มีสิทธิ์เข้าถึงข้อมูล AS ทั้งหมดที่จัดเก็บและ (หรือ) ประมวลผลบนสื่อที่มีระดับการรักษาความลับต่างกัน กลุ่มมีสองคลาส - 2B และ 2A
• กลุ่มแรก - กำหนดผู้ใช้หลายคน AS ซึ่งข้อมูลของระดับการรักษาความลับที่แตกต่างกันจะถูกจัดเก็บและ (หรือ) ประมวลผลในเวลาเดียวกันและผู้ใช้บางคนไม่สามารถเข้าถึงได้ กลุ่มมี 5 คลาส 0 1D, 1G, 1C, 1B, 1A

ข้อกำหนดสำหรับ AU ในการปกป้องข้อมูลจากการเข้าถึงโดยไม่ได้รับอนุญาต

มาตรการในการปกป้องข้อมูลจากการเข้าถึงโดยไม่ได้รับอนุญาตควรดำเนินการร่วมกับมาตรการสำหรับการป้องกันพิเศษของอุปกรณ์คอมพิวเตอร์ (SVT) และระบบการสื่อสารจากวิธีการทางเทคนิคของข่าวกรองและอุตสาหกรรม

การกำหนดสำหรับตาราง:

• '-': ไม่มีข้อกำหนดสำหรับคลาสปัจจุบัน
• "+": มีข้อกำหนดสำหรับคลาสปัจจุบัน

ตารางที่ 2 - ข้อกำหนดสำหรับผู้พูด

ระบบย่อยและข้อกำหนด	กลุ่ม 3		กลุ่ม 2		กลุ่ม 1
	3B	3A	2B	2A	1D	1G	1B	1B	1A
1. ระบบย่อยการควบคุมการเข้าออก
1.1. การระบุ การรับรองความถูกต้อง และการควบคุมการเข้าถึงของอาสาสมัคร:
เข้าสู่ระบบ	+	+	+	+	+	+	+	+	+
ไปยังขั้ว, คอมพิวเตอร์, โหนดเครือข่ายคอมพิวเตอร์, ช่องทางการสื่อสาร, อุปกรณ์คอมพิวเตอร์ภายนอก	—	—	—	+	—	+	+	+	+
สู่โปรแกรม	—	—	—	+	—	+	+	+	+
ไปยังวอลุ่ม ไดเร็กทอรี ไฟล์ เร็กคอร์ด ฟิลด์เร็กคอร์ด	—	—	—	+	—	+	+	+	+
การจัดการการไหลของข้อมูล			—	+	—	—	+	+	+
2. ระบบย่อยการลงทะเบียนและบัญชี
2.1. การลงทะเบียนและการบัญชี:
การเข้า (ออก) ของหัวข้อการเข้าถึงไปยัง (จาก) ระบบ (โหนดเครือข่าย)	+	+	+	+	+	+	+	+	+
การออกเอกสารส่งออก (กราฟิก) ที่พิมพ์ออกมา	—	+	—	+	—	+	+	+	+
การเปิดตัว (เสร็จสิ้น) โปรแกรมและกระบวนการ (งาน งาน)	—	—	—	+	—	+	+	+	+
เข้าถึงโปรแกรมของหัวข้อการเข้าถึงไฟล์ที่ได้รับการป้องกัน รวมถึงการสร้างและการลบ การส่งผ่านสายและช่องทางการสื่อสาร	—	—	—	+	—	+	+	+	+
เข้าถึงโปรแกรมของหัวข้อการเข้าถึงไปยังเทอร์มินัล, คอมพิวเตอร์, โหนดเครือข่ายคอมพิวเตอร์, ช่องทางการสื่อสาร, อุปกรณ์คอมพิวเตอร์ภายนอก, โปรแกรม, โวลุ่ม, ไดเร็กทอรี, ไฟล์, เรคคอร์ด, ฟิลด์ของเรคคอร์ด	—	—	—	+	—	+	+	+	+
เปลี่ยนพลังของวิชาที่เข้าถึงได้	—	—	—	—	—	—	+	+	+
สร้างวัตถุการเข้าถึงที่ปลอดภัย	—	—	—	+	—	—	+	+	+
2.2. การบัญชีสำหรับสื่อบันทึกข้อมูล	+	+	+	+	+	+	+	+	+
2.3. การทำความสะอาด (zeroing, depersonalization) ของพื้นที่ว่างของ RAM คอมพิวเตอร์และไดรฟ์ภายนอก	—	+	—	+	—	+	+	+	+
2.4. การส่งสัญญาณพยายามละเมิดการป้องกัน	—	—	—	—	—	—	+	+	+
3. ระบบย่อยการเข้ารหัส
3.1. การเข้ารหัสข้อมูลที่ละเอียดอ่อน	—	—	—	+	—	—	—	+	+
3.2. การเข้ารหัสข้อมูลที่เป็นของหัวข้อการเข้าถึงต่างๆ (กลุ่มวิชา) โดยใช้คีย์ที่แตกต่างกัน	—	—	—	—	—	—	—	—	+
3.3. การใช้เครื่องมือเข้ารหัส (รับรอง) ที่ได้รับการรับรอง	—	—	—	+	—	—	—	+	+
4. ระบบย่อยความสมบูรณ์
4.1. รับรองความสมบูรณ์ของซอฟต์แวร์และข้อมูลที่ประมวลผล	+	+	+	+	+	+	+	+	+
4.2. การป้องกันทางกายภาพของอุปกรณ์คอมพิวเตอร์และผู้ให้บริการข้อมูล	+	+	+	+	+	+	+	+	+
4.3. การปรากฏตัวของผู้ดูแลระบบ (บริการ) ของการปกป้องข้อมูลในAS	—	—	—	+	—	—	+	+	+
4.4. การทดสอบ SZI NSD . เป็นระยะ	+	+	+	+	+	+	+	+	+
4.5. ความพร้อมของวิธีการกู้คืนระบบรักษาความปลอดภัยข้อมูลNSD	+	+	+	+	+	+	+	+	+
4.6. การใช้อุปกรณ์ป้องกันที่ผ่านการรับรอง	—	+	—	+	—	—	+	+	+

ขนาดตัวอักษร

เอกสารแนะนำระบบอัตโนมัติ - การป้องกันการเข้าถึงการจำแนกข้อมูลโดยไม่ได้รับอนุญาต... เกิดขึ้นจริงในปี 2560

2. ข้อกำหนดสำหรับการปกป้องข้อมูลจากการเข้าถึงโดยไม่ได้รับอนุญาตสำหรับ AU

2.1. การปกป้องข้อมูลจากการเข้าถึงโดยไม่ได้รับอนุญาตถือเป็นส่วนสำคัญของปัญหาทั่วไปในการรับรองความปลอดภัยของข้อมูล มาตรการในการปกป้องข้อมูลจากการเข้าถึงโดยไม่ได้รับอนุญาตควรดำเนินการร่วมกับมาตรการในการปกป้องวิธีการหลักและวิธีการเสริมของเทคโนโลยีคอมพิวเตอร์ วิธีการ และระบบการสื่อสารจากวิธีการทางเทคนิคของข่าวกรองและการจารกรรมทางอุตสาหกรรม

2.2. ในกรณีทั่วไป ชุดเครื่องมือซอฟต์แวร์และฮาร์ดแวร์และโซลูชันสำหรับองค์กร (ขั้นตอน) สำหรับการปกป้องข้อมูลจาก UA จะถูกนำไปใช้ภายในกรอบงานของระบบป้องกันข้อมูลกับ UA (SIS UA) โดยประกอบด้วยระบบย่อยสี่ระบบตามเงื่อนไขต่อไปนี้:

การควบคุมการเข้าถึง;

การลงทะเบียนและการบัญชี

การเข้ารหัส;

รับรองความถูกต้อง

2.3. ขึ้นอยู่กับคลาส NPP ภายในระบบย่อยเหล่านี้ ข้อกำหนดจะต้องดำเนินการตามย่อหน้า 2.4, 2.7 และ 2.10. ข้อกำหนดเหล่านี้มีรายละเอียดในย่อหน้า 2.5, 2.6, 2.8, 2.9 และ 2.11-2.15

2.4. ข้อกำหนดสำหรับผู้พูดของกลุ่มที่สาม

การกำหนด:

ระบบย่อยและข้อกำหนด	ชั้นเรียน
	3B	3A
เข้าสู่ระบบ	+	+
	-	-
สู่โปรแกรม	-	-
	-	-
2.1. การลงทะเบียนและการบัญชี:
การเข้า (ออก) ของหัวข้อการเข้าถึงไปยัง (จาก) ระบบ (โหนดเครือข่าย)	+	+
	-	+
	-	-
	-	-
	-	-
	-	-
	-	-
	+	+
	-	+
	-	-
	-	-
	-	-
	-	-
	+	+
	+	+
	-	-
	+	+
	+	+
	-	+

การระบุและการตรวจสอบสิทธิ์ของหัวเรื่องการเข้าถึงควรทำเมื่อเข้าสู่ระบบโดยใช้รหัสผ่านกึ่งถาวร ซึ่งมีความยาวอย่างน้อยหกอักขระที่เป็นตัวอักษรและตัวเลขคละกัน

สื่อที่ได้รับการคุ้มครองทั้งหมดควรได้รับการพิจารณาด้วยความช่วยเหลือของการทำเครื่องหมายและการป้อนข้อมูลประจำตัวในวารสาร (บัตรลงทะเบียน)

โดยที่:

2.6. ข้อกำหนดสำหรับการรักษาความปลอดภัยระดับ 3A:

ระบบย่อยการควบคุมการเข้าถึง:

หัวข้อการเข้าถึงควรได้รับการระบุและรับรองความถูกต้องเมื่อเข้าสู่ระบบโดยใช้รหัสผ่านกึ่งถาวรที่มีความยาวอย่างน้อยหกตัวอักษรและตัวเลข

ระบบย่อยของการลงทะเบียนและการบัญชี:

วันที่และเวลาที่เข้า (ออก) ของเรื่องการเข้าถึงระบบ (จากระบบ) หรือการโหลด (หยุด) ของระบบ

ควรทำบัญชีหลายประเภท (ซ้ำกัน) ด้วยการลงทะเบียนการออก (แผนกต้อนรับ) ของผู้ให้ข้อมูล

ระบบย่อยความซื่อสัตย์:

ความสมบูรณ์ของเครื่องมือซอฟต์แวร์ของเครื่องมือรักษาความปลอดภัยข้อมูลของ NSD ข้อมูลที่ประมวลผล ตลอดจนความไม่เปลี่ยนรูปของสภาพแวดล้อมซอฟต์แวร์ โดยที่:

ความสมบูรณ์ของระบบข้อมูลความปลอดภัยของข้อมูลของ NSD จะถูกตรวจสอบเมื่อระบบถูกโหลดโดยการปรากฏตัวของชื่อ (ตัวระบุ) ของส่วนประกอบระบบป้องกันข้อมูล

ความสมบูรณ์ของสภาพแวดล้อมซอฟต์แวร์ทำให้มั่นใจได้โดยขาดเครื่องมือสำหรับการพัฒนาและการดีบักโปรแกรมใน AS

การทดสอบการทำงานของระบบรักษาความปลอดภัยข้อมูลของ NSD เป็นระยะควรดำเนินการเมื่อสภาพแวดล้อมซอฟต์แวร์และบุคลากรของ NPP เปลี่ยนแปลงโดยใช้โปรแกรมทดสอบที่จำลองความพยายามของ NSD

2.7. ข้อกำหนดสำหรับผู้พูดของกลุ่มที่สอง

การกำหนด:

"-" - ไม่มีข้อกำหนดสำหรับคลาสนี้

"+" - มีข้อกำหนดสำหรับคลาสนี้

ระบบย่อยและข้อกำหนด	ชั้นเรียน
	2B	2A
1. ระบบย่อยการควบคุมการเข้าออก
1.1. การระบุ การรับรองความถูกต้อง และการควบคุมการเข้าถึงของอาสาสมัคร:
เข้าสู่ระบบ	+	+
ไปยังขั้ว, คอมพิวเตอร์, โหนดเครือข่ายคอมพิวเตอร์, ช่องทางการสื่อสาร, อุปกรณ์คอมพิวเตอร์ภายนอก	-	+
สู่โปรแกรม	-	+
ไปยังวอลุ่ม ไดเร็กทอรี ไฟล์ เร็กคอร์ด ฟิลด์เร็กคอร์ด	-	+
1.2. การจัดการการไหลของข้อมูล	-	+
2. ระบบย่อยการลงทะเบียนและบัญชี
2.1. การลงทะเบียนและการบัญชี:
	+	+
การออกเอกสารส่งออก (กราฟิก) ที่พิมพ์ออกมา	-	+
การเปิดตัว (เสร็จสิ้น) โปรแกรมและกระบวนการ (งาน งาน)	-	+
เข้าถึงโปรแกรมของหัวข้อการเข้าถึงไฟล์ที่ได้รับการป้องกัน รวมถึงการสร้างและการลบ การส่งผ่านสายและช่องทางการสื่อสาร	-	+
เข้าถึงโปรแกรมของหัวข้อการเข้าถึงไปยังเทอร์มินัล, คอมพิวเตอร์, โหนดเครือข่ายคอมพิวเตอร์, ช่องทางการสื่อสาร, อุปกรณ์คอมพิวเตอร์ภายนอก, โปรแกรม, โวลุ่ม, ไดเร็กทอรี, ไฟล์, เรคคอร์ด, ฟิลด์ของเรคคอร์ด	-	+
เปลี่ยนพลังของวิชาที่เข้าถึงได้	-	-
สร้างวัตถุการเข้าถึงที่ปลอดภัย	-	+
2.2. การบัญชีสำหรับสื่อบันทึกข้อมูล	+	+
2.3. การทำความสะอาด (zeroing, depersonalization) ของพื้นที่ว่างของ RAM คอมพิวเตอร์และไดรฟ์ภายนอก	-	+
2.4. การส่งสัญญาณพยายามละเมิดการป้องกัน	-	-
3. ระบบย่อยการเข้ารหัส
3.1. การเข้ารหัสข้อมูลที่ละเอียดอ่อน	-	+
3.2. การเข้ารหัสข้อมูลที่เป็นของหัวข้อการเข้าถึงต่างๆ (กลุ่มวิชา) โดยใช้คีย์ที่แตกต่างกัน	-	-
3.3. การใช้เครื่องมือเข้ารหัส (รับรอง) ที่ได้รับการรับรอง	-	+
4. ระบบย่อยความสมบูรณ์
4.1. รับรองความสมบูรณ์ของซอฟต์แวร์และข้อมูลที่ประมวลผล	+	+
4.2. การป้องกันทางกายภาพของอุปกรณ์คอมพิวเตอร์และผู้ให้บริการข้อมูล	+	+
4.3. การปรากฏตัวของผู้ดูแลระบบ (บริการ) ของการปกป้องข้อมูลในAS	-	+
4.4. การทดสอบ SZI NSD . เป็นระยะ	+	+
4.5. ความพร้อมของวิธีการกู้คืนระบบรักษาความปลอดภัยข้อมูลNSD	+	+
4.6. การใช้อุปกรณ์ป้องกันที่ผ่านการรับรอง	-	+

ระบบย่อยการควบคุมการเข้าถึง:

การระบุและการตรวจสอบสิทธิ์ของหัวเรื่องการเข้าถึงควรทำเมื่อเข้าสู่ระบบโดยใช้ตัวระบุ (รหัส) และรหัสผ่านถาวรแบบมีเงื่อนไขอย่างน้อยหกตัวอักษรและตัวเลข

ระบบย่อยของการลงทะเบียนและการบัญชี:

การลงทะเบียนการเข้า (ออก) ของวิชาการเข้าถึงระบบ (จากระบบ) หรือการลงทะเบียนการโหลดและการเริ่มต้น ระบบปฏิบัติการและการปิดซอฟต์แวร์ การลงทะเบียนออกจากระบบหรือการปิดระบบไม่ได้ดำเนินการในขณะที่ปิดฮาร์ดแวร์ของ AU

ตัวเลือกการลงทะเบียนรวมถึง:

วันที่และเวลาที่เข้า (ออก) ของเรื่องการเข้าถึงระบบ (จากระบบ) หรือการโหลด (หยุด) ของระบบ

ผลลัพธ์ของการพยายามเข้าสู่ระบบ: สำเร็จหรือไม่สำเร็จ (ด้วย NSD);

สื่อที่ได้รับการคุ้มครองทั้งหมดควรได้รับการพิจารณาโดยการทำเครื่องหมายและป้อนข้อมูลประจำตัวในวารสาร (บัตรลงทะเบียน)

ระบบย่อยความซื่อสัตย์:

ความสมบูรณ์ของเครื่องมือซอฟต์แวร์ของเครื่องมือรักษาความปลอดภัยข้อมูลของ NSD ข้อมูลที่ประมวลผล ตลอดจนความไม่เปลี่ยนรูปของสภาพแวดล้อมซอฟต์แวร์

โดยที่:

ความสมบูรณ์ของระบบข้อมูลความปลอดภัยของข้อมูลของ NSD จะถูกตรวจสอบเมื่อระบบถูกโหลดโดยการปรากฏตัวของชื่อ (ตัวระบุ) ของส่วนประกอบระบบป้องกันข้อมูล

ความสมบูรณ์ของสภาพแวดล้อมซอฟต์แวร์ทำให้มั่นใจได้โดยไม่มี AS ของเครื่องมือสำหรับการพัฒนาและการดีบักโปรแกรมในระหว่างการประมวลผลและ (หรือ) การจัดเก็บข้อมูลที่ได้รับการป้องกัน

ควรดำเนินการรักษาความปลอดภัยทางกายภาพของ SVT (อุปกรณ์และสื่อเก็บข้อมูล) ซึ่งให้การควบคุมการเข้าถึงสถานที่ NPP โดยบุคคลที่ไม่ได้รับอนุญาตการปรากฏตัวของอุปสรรคที่เชื่อถือได้ในการเข้าสู่สถานที่ NPP โดยไม่ได้รับอนุญาตและการจัดเก็บสื่อข้อมูล โดยเฉพาะอย่างยิ่งในช่วงนอกเวลาทำการ

ควรมีวิธีการในการกู้คืนระบบป้องกันข้อมูลของ NSD โดยจัดให้มีการบำรุงรักษาซอฟต์แวร์สองชุดของระบบป้องกันข้อมูลของ NSD และการอัปเดตเป็นระยะและการตรวจสอบประสิทธิภาพ

2.9. ข้อกำหนดสำหรับการรักษาความปลอดภัยระดับ 2A

ระบบย่อยการควบคุมการเข้าถึง:

เทอร์มินัล คอมพิวเตอร์ โหนดเครือข่ายคอมพิวเตอร์ ช่องทางการสื่อสาร อุปกรณ์คอมพิวเตอร์ภายนอก ควรระบุที่อยู่เชิงตรรกะ (ตัวเลข)

ควรควบคุมการไหลของข้อมูลโดยใช้ป้ายกำกับระดับความลับ ในเวลาเดียวกัน ระดับการรักษาความลับของไดรฟ์ต้องไม่ต่ำกว่าระดับการรักษาความลับของข้อมูลที่บันทึกไว้

ระบบย่อยของการลงทะเบียนและการบัญชี:

การลงทะเบียนการเข้า (ออก) ของหัวข้อการเข้าถึงระบบ (จากระบบ) หรือการลงทะเบียนการโหลดและการเริ่มต้นระบบปฏิบัติการและการปิดซอฟต์แวร์ควรดำเนินการ การลงทะเบียนออกจากระบบหรือการปิดระบบไม่ได้ดำเนินการในขณะที่ปิดฮาร์ดแวร์ของ AU ตัวเลือกการลงทะเบียนรวมถึง:

วันที่และเวลาที่เข้า (ออก) ของเรื่องการเข้าถึงระบบ (จากระบบ) หรือการโหลด (หยุด) ของระบบ

ผลลัพธ์ของการพยายามเข้าสู่ระบบ: สำเร็จหรือไม่สำเร็จ (ด้วย NSD);

การลงทะเบียนการออกเอกสารที่พิมพ์ (กราฟิก) สำหรับสำเนา "ยาก" ควรดำเนินการ การออกควรมาพร้อมกับการทำเครื่องหมายอัตโนมัติของแต่ละแผ่น (หน้า) ของเอกสาร หมายเลขซีเรียลและรายละเอียดการบัญชีของ AS โดยระบุจำนวนแผ่น (หน้า) ในแผ่นสุดท้ายของเอกสาร ตัวเลือกการลงทะเบียนรวมถึง:

วันที่และเวลาที่ออก (อ้างอิงถึงระบบย่อยเอาต์พุต);

ข้อมูลจำเพาะของอุปกรณ์ออก [ชื่อตรรกะ (หมายเลข) ของอุปกรณ์ภายนอก] เนื้อหาโดยย่อ (ชื่อ ประเภท รหัส รหัส) และระดับการรักษาความลับของเอกสาร

วันที่และเวลาที่เปิดตัว;

ตัวเลือกการลงทะเบียนรวมถึง:

วันที่และเวลาที่พยายามเข้าถึงไฟล์ที่ได้รับการป้องกันซึ่งระบุผลลัพธ์: สำเร็จ, ไม่สำเร็จ - ไม่ได้รับอนุญาต,

ตัวเลือกการลงทะเบียนรวมถึง:

เข้าถึงตัวระบุหัวเรื่อง;

สื่อที่ได้รับการคุ้มครองทั้งหมดควรได้รับการพิจารณาโดยการทำเครื่องหมายและป้อนข้อมูลประจำตัวในวารสาร (บัตรลงทะเบียน)

ควรทำความสะอาด (zeroing, depersonalization) ของพื้นที่ว่างของ RAM คอมพิวเตอร์และไดรฟ์ภายนอก การล้างจะดำเนินการโดยการเขียนแบบสุ่มสองครั้งไปยังพื้นที่หน่วยความจำที่ว่าง ซึ่งก่อนหน้านี้ใช้เพื่อจัดเก็บข้อมูลที่มีการป้องกัน (ไฟล์)

ระบบย่อยการเข้ารหัส:

การเข้ารหัสข้อมูลที่เป็นความลับทั้งหมดที่บันทึกไว้ในผู้ให้บริการข้อมูลที่ใช้ร่วมกัน (ที่ใช้ร่วมกัน) โดยหัวข้อการเข้าถึงที่แตกต่างกัน ในช่องทางการสื่อสาร เช่นเดียวกับผู้ให้บริการข้อมูลที่ถอดออกได้ (ฟลอปปีดิสก์ ไมโครคาสเซ็ต ฯลฯ) ของหน่วยความจำภายนอกระยะยาวสำหรับการจัดเก็บนอกเซสชันการทำงานที่ได้รับอนุญาต ควรจะดำเนินการ หัวข้อการเข้าถึง ในกรณีนี้ ควรดำเนินการปล่อยและล้างพื้นที่หน่วยความจำภายนอกโดยอัตโนมัติซึ่งมีข้อมูลที่ไม่ได้เข้ารหัสไว้ก่อนหน้านี้

การเข้าถึงการดำเนินการเข้ารหัสและคีย์การเข้ารหัสของหัวเรื่องต้องถูกควบคุมเพิ่มเติมโดยระบบย่อยการควบคุมการเข้าถึง

ระบบย่อยความซื่อสัตย์:

ความสมบูรณ์ของเครื่องมือซอฟต์แวร์ของระบบรักษาความปลอดภัยข้อมูลของ NSD ข้อมูลที่กำลังดำเนินการ ตลอดจนความไม่เปลี่ยนรูปของสภาพแวดล้อมซอฟต์แวร์

โดยที่:

ความสมบูรณ์ของระบบข้อมูลความปลอดภัยของข้อมูลของ NSD จะถูกตรวจสอบเมื่อระบบถูกโหลดโดยการปรากฏตัวของชื่อ (ตัวระบุ) ของส่วนประกอบระบบป้องกันข้อมูล

ความสมบูรณ์ของสภาพแวดล้อมซอฟต์แวร์ทำให้มั่นใจได้โดยขาดเครื่องมือสำหรับการพัฒนาและการดีบักโปรแกรมใน AS

ควรมีการป้องกันทางกายภาพของ ICT (อุปกรณ์และผู้ให้บริการข้อมูล) เพื่อให้มีการป้องกันอาณาเขตและอาคารที่ NPP ตั้งอยู่อย่างต่อเนื่องโดยใช้อุปกรณ์รักษาความปลอดภัยทางเทคนิคและบุคลากรพิเศษ การควบคุมการเข้าออกอย่างเข้มงวด, อุปกรณ์พิเศษของสถานที่ NPP;

ควรมีผู้ดูแลระบบรักษาความปลอดภัยข้อมูล (บริการ) ที่รับผิดชอบในการบำรุงรักษา การทำงานปกติ และการควบคุมการทำงานของระบบป้องกันข้อมูล NSD

การทดสอบการทำงานของระบบรักษาความปลอดภัยข้อมูลของ UA เป็นระยะควรดำเนินการเมื่อสภาพแวดล้อมซอฟต์แวร์และบุคลากรของ AU เปลี่ยนแปลงด้วยความช่วยเหลือของโปรแกรมทดสอบที่จำลองความพยายามใน UA

ต้องมีวิธีการในการกู้คืนระบบป้องกันข้อมูลของ NSD โดยจัดให้มีการบำรุงรักษาซอฟต์แวร์สองชุดของระบบป้องกันข้อมูลของ NSD และการอัปเดตเป็นระยะและการตรวจสอบประสิทธิภาพ

ต้องใช้อุปกรณ์ป้องกันที่ผ่านการรับรอง การรับรองจะดำเนินการโดยศูนย์รับรองพิเศษหรือองค์กรเฉพาะทางที่ได้รับอนุญาตให้รับรองวิธีการป้องกัน SZI NSD

2.10. ข้อกำหนดสำหรับผู้พูดของกลุ่มแรก

การกำหนด:

"-" - ไม่มีข้อกำหนดสำหรับคลาสนี้

"+" - มีข้อกำหนดสำหรับคลาสนี้

ระบบย่อยและข้อกำหนด	ชั้นเรียน
	1D	1G	1B	1B	1A
1. ระบบย่อยการควบคุมการเข้าออก
1.1. การระบุ การรับรองความถูกต้อง และการควบคุมการเข้าถึงของอาสาสมัคร:
เข้าสู่ระบบ	+	+	+	+	+
ไปยังขั้ว, คอมพิวเตอร์, โหนดเครือข่ายคอมพิวเตอร์, ช่องทางการสื่อสาร, อุปกรณ์คอมพิวเตอร์ภายนอก	-	+	+	+	+
สู่โปรแกรม	-	+	+	+	+
ไปยังวอลุ่ม ไดเร็กทอรี ไฟล์ เร็กคอร์ด ฟิลด์เร็กคอร์ด	-	+	+	+	+
1.2. การจัดการการไหลของข้อมูล	-	-	+	+	+
2. ระบบย่อยการลงทะเบียนและบัญชี
2.1. การลงทะเบียนและการบัญชี:
เข้า (ออก) ของเรื่องการเข้าถึงไปยัง (จาก) ระบบ (โหนดเครือข่าย)	+	+	+	+	+
การออกเอกสารส่งออก (กราฟิก) ที่พิมพ์ออกมา	-	+	+	+	+
การเปิดตัว (เสร็จสิ้น) โปรแกรมและกระบวนการ (งาน งาน)	-	+	+	+	+
เข้าถึงโปรแกรมของหัวข้อการเข้าถึงไฟล์ที่ได้รับการป้องกัน รวมถึงการสร้างและการลบ การส่งผ่านสายและช่องทางการสื่อสาร	-	+	+	+	+
เข้าถึงโปรแกรมของหัวข้อการเข้าถึงไปยังเทอร์มินัล, คอมพิวเตอร์, โหนดเครือข่ายคอมพิวเตอร์, ช่องทางการสื่อสาร, อุปกรณ์คอมพิวเตอร์ภายนอก, โปรแกรม, โวลุ่ม, ไดเร็กทอรี, ไฟล์, เรคคอร์ด, ฟิลด์ของเรคคอร์ด	-	+	+	+	+
เปลี่ยนพลังของวิชาที่เข้าถึงได้	-	-	+	+	+
สร้างวัตถุการเข้าถึงที่ปลอดภัย	-	-	+	+	+
2.2. การบัญชีสำหรับสื่อบันทึกข้อมูล	+	+	+	+	+
2.3. การทำความสะอาด (zeroing, depersonalization) ของพื้นที่ว่างของ RAM คอมพิวเตอร์และไดรฟ์ภายนอก	-	+	+	+	+
2.4. การส่งสัญญาณพยายามละเมิดการป้องกัน	-	-	+	+	+
3. ระบบย่อยการเข้ารหัส
3.1. การเข้ารหัสข้อมูลที่ละเอียดอ่อน	-	-	-	+	+
3.2. การเข้ารหัสข้อมูลที่เป็นของหัวข้อการเข้าถึงต่างๆ (กลุ่มวิชา) โดยใช้คีย์ที่แตกต่างกัน	-	-	-	-	+
3.3. การใช้เครื่องมือเข้ารหัส (รับรอง) ที่ได้รับการรับรอง	-	-	-	+	+
4. ระบบย่อยความสมบูรณ์
4.1. รับรองความสมบูรณ์ของซอฟต์แวร์และข้อมูลที่ประมวลผล	+	+	+	+	+
4.2. การป้องกันทางกายภาพของอุปกรณ์คอมพิวเตอร์และผู้ให้บริการข้อมูล	+	+	+	+	+
4.3. การปรากฏตัวของผู้ดูแลระบบ (บริการ) ของการปกป้องข้อมูลในAS	-	-	+	+	+
4.4. การทดสอบ SZI NSD . เป็นระยะ	+	+	+	+	+
4.5. ความพร้อมของวิธีการกู้คืนระบบรักษาความปลอดภัยข้อมูลNSD	+	+	+	+	+
4.6. การใช้อุปกรณ์ป้องกันที่ผ่านการรับรอง	-	-	+	+	+

ระบบย่อยการควบคุมการเข้าถึง:

การระบุและการตรวจสอบสิทธิ์ของหัวเรื่องการเข้าถึงควรดำเนินการเมื่อเข้าสู่ระบบโดยใช้รหัสผ่านถาวรแบบมีเงื่อนไขที่มีความยาวอย่างน้อยหกอักขระที่เป็นตัวอักษรและตัวเลขคละกัน

ระบบย่อยของการลงทะเบียนและการบัญชี:

การลงทะเบียนการเข้า (ออก) ของหัวข้อการเข้าถึงระบบ (จากระบบ) หรือการลงทะเบียนการโหลดและการเริ่มต้นระบบปฏิบัติการและการปิดซอฟต์แวร์ควรดำเนินการ การลงทะเบียนออกจากระบบหรือการปิดระบบไม่ได้ดำเนินการในขณะที่ปิดฮาร์ดแวร์ของ AU ตัวเลือกการลงทะเบียนรวมถึง:

วันที่และเวลาที่เข้า (ออก) ของเรื่องการเข้าถึงระบบ (จากระบบ) หรือการโหลด (หยุด) ของระบบ

ตัวระบุ (รหัสหรือนามสกุล) ของเรื่องที่นำเสนอในระหว่างการพยายามเข้าถึง

สื่อที่ได้รับการคุ้มครองทั้งหมดต้องได้รับการพิจารณาโดยการทำเครื่องหมายและป้อนข้อมูลเข้าสู่ระบบ (บัตรลงทะเบียน)

การบัญชีสำหรับสื่อที่ได้รับการคุ้มครองควรจัดทำในวารสาร (ตู้เก็บเอกสาร) โดยมีการลงทะเบียนการออก (แผนกต้อนรับ)

ระบบย่อยความซื่อสัตย์:

ความสมบูรณ์ของเครื่องมือซอฟต์แวร์ของระบบรักษาความปลอดภัยข้อมูลของ NSD ข้อมูลที่กำลังดำเนินการ ตลอดจนความไม่เปลี่ยนรูปของสภาพแวดล้อมซอฟต์แวร์

โดยที่:

ควรดำเนินการรักษาความปลอดภัยทางกายภาพของ SVT (อุปกรณ์และสื่อเก็บข้อมูล) ซึ่งให้การควบคุมการเข้าถึงสถานที่ NPP โดยบุคคลที่ไม่ได้รับอนุญาตการปรากฏตัวของอุปสรรคที่เชื่อถือได้ในการเข้าสู่สถานที่ NPP โดยไม่ได้รับอนุญาตและการจัดเก็บสื่อข้อมูล โดยเฉพาะอย่างยิ่งในช่วงนอกเวลาทำการ

การทดสอบการทำงานของระบบรักษาความปลอดภัยข้อมูลของ UA เป็นระยะควรดำเนินการเมื่อสภาพแวดล้อมซอฟต์แวร์และบุคลากรของ AU เปลี่ยนแปลงด้วยความช่วยเหลือของโปรแกรมทดสอบที่จำลองความพยายามใน UA

ควรมีวิธีการในการกู้คืนระบบป้องกันข้อมูลของ NSD โดยจัดให้มีการบำรุงรักษาซอฟต์แวร์สองชุดของระบบป้องกันข้อมูลของ NSD และการอัปเดตเป็นระยะและการตรวจสอบประสิทธิภาพ

2.12. ข้อกำหนดสำหรับการรักษาความปลอดภัยระดับ 1G:

ระบบย่อยการควบคุมการเข้าถึง:

การระบุและรับรองความถูกต้องของหัวเรื่องการเข้าถึงควรดำเนินการเมื่อเข้าสู่ระบบโดยใช้ตัวระบุ (รหัส) และรหัสผ่านถาวรแบบมีเงื่อนไข ซึ่งมีความยาวอย่างน้อยหกตัวอักษรและตัวเลข

การระบุเทอร์มินัล, คอมพิวเตอร์, โหนดเครือข่ายคอมพิวเตอร์, ช่องทางการสื่อสาร, อุปกรณ์คอมพิวเตอร์ภายนอกโดยใช้ชื่อตรรกะควรดำเนินการ

การระบุโปรแกรม วอลุ่ม ไดเร็กทอรี ไฟล์ เร็กคอร์ด ฟิลด์ของเร็กคอร์ดตามชื่อควรดำเนินการ

การเข้าถึงทรัพยากรที่ได้รับการคุ้มครองของอาสาสมัครจะต้องถูกควบคุมตามเมทริกซ์การเข้าถึง

ระบบย่อยของการลงทะเบียนและการบัญชี:

การลงทะเบียนการเข้า (ออก) ของหัวข้อการเข้าถึงระบบ (จากระบบ) หรือการลงทะเบียนการโหลดและการเริ่มต้นระบบปฏิบัติการและการปิดซอฟต์แวร์ควรดำเนินการ การลงทะเบียนออกจากระบบหรือการปิดระบบไม่ได้ดำเนินการในขณะที่ปิดฮาร์ดแวร์ของ AU ตัวเลือกการลงทะเบียนรวมถึง:

วันที่และเวลาที่เข้า (ออก) ของเรื่องการเข้าถึงระบบ (จากระบบ) หรือการโหลด (หยุด) ของระบบ

ผลลัพธ์ของการพยายามเข้าสู่ระบบ: สำเร็จหรือไม่สำเร็จ - ไม่ได้รับอนุญาต;

ตัวระบุ (รหัสหรือนามสกุล) ของเรื่องที่นำเสนอในระหว่างการพยายามเข้าถึง

การลงทะเบียนการออกเอกสารที่พิมพ์ (กราฟิก) สำหรับสำเนา "ยาก" ควรดำเนินการ ตัวเลือกการลงทะเบียนรวมถึง:

วันที่และเวลาที่ออก (อ้างอิงถึงระบบย่อยเอาต์พุต);

การออกข้อกำหนดอุปกรณ์ [ชื่อตรรกะ (หมายเลข) ของอุปกรณ์ภายนอก];

ตัวระบุของหัวเรื่องการเข้าถึงที่ร้องขอเอกสาร

การเริ่มต้น (เสร็จสิ้น) ของโปรแกรมและกระบวนการ (งาน, งาน) ที่มีไว้สำหรับการประมวลผลไฟล์ที่ได้รับการป้องกันควรได้รับการลงทะเบียน ตัวเลือกการลงทะเบียนรวมถึง:

วันที่และเวลาที่เปิดตัว;

ชื่อ (ตัวระบุ) ​​ของโปรแกรม (กระบวนการ, งาน);

ตัวระบุของหัวข้อการเข้าถึงที่ร้องขอโปรแกรม (กระบวนการ งาน);

ผลการเปิดตัว (สำเร็จ, ไม่สำเร็จ - ไม่ได้รับอนุญาต);

ควรดำเนินการลงทะเบียนความพยายามในการเข้าถึงด้วยเครื่องมือซอฟต์แวร์ (โปรแกรม กระบวนการ งาน งาน) ไปยังไฟล์ที่ได้รับการป้องกัน

ตัวเลือกการลงทะเบียนรวมถึง:

เข้าถึงตัวระบุหัวเรื่อง;

ข้อกำหนดของไฟล์ที่ได้รับการป้องกัน

ควรดำเนินการลงทะเบียนความพยายามในการเข้าถึงซอฟต์แวร์กับวัตถุการเข้าถึงที่มีการป้องกันเพิ่มเติมต่อไปนี้: เทอร์มินัล คอมพิวเตอร์ โหนดเครือข่ายคอมพิวเตอร์ สายสื่อสาร (ช่องสัญญาณ) อุปกรณ์คอมพิวเตอร์ภายนอก โปรแกรม ไดรฟ์ข้อมูล ไดเรกทอรี ไฟล์ ระเบียน เขตข้อมูลของระเบียน

ตัวเลือกการลงทะเบียนรวมถึง:

วันที่และเวลาที่พยายามเข้าถึงวัตถุที่ได้รับการคุ้มครองซึ่งระบุผลลัพธ์: สำเร็จ, ไม่สำเร็จ - ไม่ได้รับอนุญาต;

เข้าถึงตัวระบุหัวเรื่อง;

คุณสมบัติของวัตถุที่ได้รับการป้องกัน [ชื่อตรรกะ (หมายเลข)];

สื่อที่ได้รับการคุ้มครองทั้งหมดควรได้รับการพิจารณาโดยการทำเครื่องหมายและป้อนข้อมูลประจำตัวในวารสาร (บัตรลงทะเบียน)

การบัญชีสำหรับสื่อที่ได้รับการคุ้มครองควรจัดทำในวารสาร (ตู้เก็บเอกสาร) โดยมีการลงทะเบียนการออก (แผนกต้อนรับ)

ควรทำความสะอาด (zeroing, depersonalization) ของพื้นที่ว่างของ RAM คอมพิวเตอร์และไดรฟ์ภายนอก การล้างจะดำเนินการโดยการเขียนแบบสุ่มครั้งเดียวไปยังพื้นที่หน่วยความจำว่างที่เคยใช้เพื่อจัดเก็บข้อมูลที่ได้รับการป้องกัน (ไฟล์)

ระบบย่อยความซื่อสัตย์:

โดยที่:

ความสมบูรณ์ของ SZI NSD ถูกตรวจสอบเมื่อโหลดระบบโดยเช็คซัมของส่วนประกอบ SZI

ความสมบูรณ์ของสภาพแวดล้อมซอฟต์แวร์มั่นใจได้โดยการใช้นักแปลจากภาษาระดับสูงและไม่มีวิธีการแก้ไขรหัสวัตถุของโปรแกรมในกระบวนการประมวลผลและ (หรือ) การจัดเก็บข้อมูลที่ได้รับการป้องกัน

ควรดำเนินการรักษาความปลอดภัยทางกายภาพของ SVT (อุปกรณ์และสื่อเก็บข้อมูล) ซึ่งให้การควบคุมการเข้าถึงสถานที่ NPP โดยบุคคลที่ไม่ได้รับอนุญาตการปรากฏตัวของอุปสรรคที่เชื่อถือได้ในการเข้าสู่สถานที่ NPP โดยไม่ได้รับอนุญาตและการจัดเก็บสื่อข้อมูล โดยเฉพาะอย่างยิ่งในช่วงนอกเวลาทำการ

การทดสอบการทำงานของระบบรักษาความปลอดภัยข้อมูลของ UA เป็นระยะควรดำเนินการเมื่อสภาพแวดล้อมซอฟต์แวร์และบุคลากรของ AU เปลี่ยนแปลงด้วยความช่วยเหลือของโปรแกรมทดสอบที่จำลองความพยายามใน UA

ควรมีวิธีการในการกู้คืนระบบป้องกันข้อมูลของ NSD โดยจัดให้มีการบำรุงรักษาซอฟต์แวร์สองชุดของระบบป้องกันข้อมูลของ NSD และการอัปเดตเป็นระยะและการตรวจสอบประสิทธิภาพ

2.13. ข้อกำหนดสำหรับคลาสความปลอดภัย 1B:

ระบบย่อยการควบคุมการเข้าถึง:

การระบุและรับรองความถูกต้องของหัวเรื่องการเข้าถึงควรดำเนินการเมื่อเข้าสู่ระบบโดยใช้ตัวระบุ (รหัส) และรหัสผ่านถาวรแบบมีเงื่อนไขที่มีความยาวอย่างน้อยหกตัวอักษรและตัวเลข

การระบุเทอร์มินัล, คอมพิวเตอร์, โหนดเครือข่ายคอมพิวเตอร์, ช่องทางการสื่อสาร, อุปกรณ์คอมพิวเตอร์ภายนอกโดยใช้ชื่อตรรกะและ (หรือ) ที่อยู่ควรดำเนินการ

การระบุโปรแกรม วอลุ่ม ไดเร็กทอรี ไฟล์ เร็กคอร์ด ฟิลด์ของเร็กคอร์ดตามชื่อควรดำเนินการ

ระบบย่อยของการลงทะเบียนและการบัญชี:

การลงทะเบียนการเข้า (ออก) ของการเข้าถึงขึ้นอยู่กับระบบ (จากระบบ) หรือการลงทะเบียนการโหลดและการเริ่มต้นระบบปฏิบัติการและการปิดซอฟต์แวร์ของระบบปฏิบัติการ การลงทะเบียนออกจากระบบหรือการปิดระบบไม่ได้ดำเนินการในขณะที่ปิดฮาร์ดแวร์ของ AU ตัวเลือกการลงทะเบียนรวมถึง:

วันที่และเวลาที่เข้า (ออก) ของเรื่องการเข้าถึงระบบ (จากระบบ) หรือการโหลด (หยุด) ของระบบ

ผลลัพธ์ของการพยายามเข้าสู่ระบบ: สำเร็จหรือไม่สำเร็จ - ไม่ได้รับอนุญาต;

ตัวระบุ (รหัสหรือนามสกุล) ของเรื่องที่นำเสนอในระหว่างการพยายามเข้าถึง

รหัสหรือรหัสผ่านที่แสดงในระหว่างการพยายามไม่สำเร็จ

การลงทะเบียนการออกเอกสารที่พิมพ์ (กราฟิก) สำหรับสำเนา "ยาก" ควรดำเนินการ การออกจะต้องมาพร้อมกับการทำเครื่องหมายอัตโนมัติของแต่ละแผ่น (หน้า) ของเอกสารพร้อมหมายเลขซีเรียลและรายละเอียดการบัญชี AS ที่ระบุจำนวนแผ่นทั้งหมด (หน้า) ในแผ่นงานสุดท้ายของเอกสาร ตัวเลือกการลงทะเบียนรวมถึง:

วันที่และเวลาที่ออก (อ้างอิงถึงระบบย่อยเอาต์พุต);

การออกข้อกำหนดอุปกรณ์ [ชื่อตรรกะ (หมายเลข) ของอุปกรณ์ภายนอก];

เนื้อหาโดยย่อ (ชื่อ ประเภท รหัส รหัส) และระดับการรักษาความลับของเอกสาร

ตัวระบุของหัวเรื่องการเข้าถึงที่ร้องขอเอกสาร

การเริ่มต้น (เสร็จสิ้น) ของโปรแกรมและกระบวนการ (งาน, งาน) ที่มีไว้สำหรับการประมวลผลไฟล์ที่ได้รับการป้องกันควรได้รับการลงทะเบียน ตัวเลือกการลงทะเบียนรวมถึง:

วันที่และเวลาที่เปิดตัว;

ชื่อ (ตัวระบุ) ​​ของโปรแกรม (กระบวนการ, งาน);

ตัวระบุของหัวข้อการเข้าถึงที่ร้องขอโปรแกรม (กระบวนการ งาน);

ผลการเปิดตัว (สำเร็จ, ไม่สำเร็จ - ไม่ได้รับอนุญาต);

วันที่และเวลาที่พยายามเข้าถึงไฟล์ที่ได้รับการป้องกัน ซึ่งระบุผลลัพธ์: สำเร็จ ไม่สำเร็จ - ไม่ได้รับอนุญาต

เข้าถึงตัวระบุหัวเรื่อง;

ข้อกำหนดของไฟล์ที่ได้รับการป้องกัน

วันที่และเวลาที่พยายามเข้าถึงวัตถุที่ได้รับการคุ้มครองซึ่งระบุผลลัพธ์: สำเร็จ, ไม่สำเร็จ - ไม่ได้รับอนุญาต;

เข้าถึงตัวระบุหัวเรื่อง;

คุณสมบัติของวัตถุที่ได้รับการป้องกัน [ชื่อตรรกะ (หมายเลข)];

ไฟล์ที่ได้รับการป้องกันที่สร้างขึ้นควรได้รับการพิจารณาโดยอัตโนมัติด้วยความช่วยเหลือของการทำเครื่องหมายเพิ่มเติมที่ใช้ในระบบย่อยการควบคุมการเข้าถึง การทำเครื่องหมายควรสะท้อนถึงระดับการรักษาความลับของวัตถุ

การบัญชีสำหรับสื่อที่ได้รับการคุ้มครองทั้งหมดควรดำเนินการโดยการทำเครื่องหมายและป้อนข้อมูลประจำตัวในวารสาร (บัตรลงทะเบียน)

การบัญชีสำหรับสื่อที่ได้รับการคุ้มครองควรจัดทำในวารสาร (ตู้เก็บเอกสาร) โดยมีการลงทะเบียนการออก (แผนกต้อนรับ)

ควรทำบัญชีหลายประเภทสำหรับสื่อที่ได้รับการคุ้มครอง (ซ้ำกัน)

ความพยายามในการละเมิดความปลอดภัยควรได้รับการส่งสัญญาณ

ระบบย่อยความซื่อสัตย์:

ต้องมั่นใจในความสมบูรณ์ของเครื่องมือซอฟต์แวร์ NSD SZI ตลอดจนความไม่เปลี่ยนรูปของสภาพแวดล้อมซอฟต์แวร์

โดยที่:

ความสมบูรณ์ของ SZI NSD ถูกตรวจสอบเมื่อโหลดระบบโดยเช็คซัมของส่วนประกอบ SZI

ความสมบูรณ์ของสภาพแวดล้อมซอฟต์แวร์มั่นใจได้ด้วยการใช้นักแปลจากภาษาระดับสูงและไม่มีวิธีการแก้ไขรหัสวัตถุของโปรแกรมเมื่อทำการประมวลผลและ (หรือ) จัดเก็บข้อมูลที่ได้รับการป้องกัน

ควรทำการทดสอบฟังก์ชั่นทั้งหมดของระบบรักษาความปลอดภัยข้อมูลของ NSD เป็นระยะโดยใช้เครื่องมือซอฟต์แวร์พิเศษอย่างน้อยปีละครั้ง

ต้องมีวิธีการในการกู้คืนระบบป้องกันข้อมูลของ NSD โดยจัดให้มีการบำรุงรักษาซอฟต์แวร์สองชุดของระบบป้องกันข้อมูลของ NSD และการอัปเดตเป็นระยะและการตรวจสอบประสิทธิภาพ

ต้องใช้อุปกรณ์ป้องกันที่ผ่านการรับรอง การรับรองจะดำเนินการโดยศูนย์รับรองพิเศษหรือองค์กรเฉพาะทางที่ได้รับอนุญาตให้รับรองวิธีการป้องกัน SZI NSD

2.14. ข้อกำหนดสำหรับคลาสความปลอดภัย 1B:

ระบบย่อยการควบคุมการเข้าถึง:

หัวข้อการเข้าถึงควรได้รับการระบุและรับรองความถูกต้องเมื่อเข้าสู่ระบบโดยใช้ตัวระบุ (รหัส) และรหัสผ่านชั่วคราวที่มีอักขระที่เป็นตัวอักษรและตัวเลขคละกันอย่างน้อยแปดตัว

เทอร์มินัล คอมพิวเตอร์ โหนดเครือข่ายคอมพิวเตอร์ ช่องทางการสื่อสาร อุปกรณ์คอมพิวเตอร์ภายนอก ควรระบุที่อยู่ทางกายภาพ (ตัวเลข)

การระบุโปรแกรม วอลุ่ม ไดเร็กทอรี ไฟล์ เร็กคอร์ด ฟิลด์ของเร็กคอร์ดตามชื่อควรดำเนินการ

การควบคุมการเข้าถึงของอาสาสมัครในทรัพยากรที่ได้รับการคุ้มครองควรดำเนินการตามเมทริกซ์การเข้าถึง

ควรควบคุมการไหลของข้อมูลโดยใช้ป้ายกำกับระดับความลับ ในเวลาเดียวกัน ระดับการรักษาความลับของไดรฟ์จะต้องไม่ต่ำกว่าระดับการรักษาความลับของข้อมูลที่บันทึกไว้

ระบบย่อยของการลงทะเบียนและการบัญชี:

การลงทะเบียนการเข้า (ออก) ของหัวข้อการเข้าถึงระบบ (จากระบบ) หรือการลงทะเบียนการโหลดและการเริ่มต้นระบบปฏิบัติการและการปิดซอฟต์แวร์ควรดำเนินการ การลงทะเบียนออกจากระบบหรือการปิดระบบไม่ได้ดำเนินการในขณะที่ปิดฮาร์ดแวร์ของ AU ตัวเลือกการลงทะเบียนรวมถึง:

วันที่และเวลาที่เข้า (ออก) ของเรื่องการเข้าถึงระบบ (จากระบบ) หรือการโหลด (หยุด) ของระบบ

ผลลัพธ์ของการพยายามเข้าสู่ระบบ: สำเร็จหรือไม่สำเร็จ - ไม่ได้รับอนุญาต;

ตัวระบุ (รหัสหรือนามสกุล) ของเรื่องที่นำเสนอในระหว่างการพยายามเข้าถึง

รหัสหรือรหัสผ่านที่แสดงในระหว่างการพยายามไม่สำเร็จ

การลงทะเบียนการออกเอกสารที่พิมพ์ (กราฟิก) สำหรับสำเนา "ยาก" ควรดำเนินการ การออกจะต้องมาพร้อมกับการทำเครื่องหมายอัตโนมัติของแต่ละแผ่น (หน้า) ของเอกสารพร้อมหมายเลขซีเรียลและรายละเอียดการบัญชี AS ที่ระบุจำนวนแผ่นทั้งหมด (หน้า) ในแผ่นงานสุดท้ายของเอกสาร พร้อมกับการออกเอกสารบัตรบัญชีของเอกสารควรถูกวาดขึ้นโดยอัตโนมัติโดยระบุวันที่ออกเอกสารรายละเอียดการบัญชีของเอกสาร สรุป(ชื่อ, ชนิด, รหัส, รหัส) และระดับการรักษาความลับของเอกสาร, ชื่อผู้ออกเอกสาร, จำนวนหน้าและสำเนาของเอกสาร (กรณีออกเอกสารไม่ครบถ้วน - เอกสารที่ออกจริง) จำนวนแผ่นในคอลัมน์ "การแต่งงาน") ตัวเลือกการลงทะเบียนรวมถึง:

วันที่และเวลาที่ออก (อ้างอิงถึงระบบย่อยเอาต์พุต);

การออกข้อกำหนดอุปกรณ์ [ชื่อตรรกะ (หมายเลข) ของอุปกรณ์ภายนอก];

เนื้อหาโดยย่อ (ชื่อ ประเภท รหัส รหัส) และระดับการรักษาความลับของเอกสาร

ตัวระบุของหัวเรื่องการเข้าถึงที่ร้องขอเอกสาร

ปริมาณของเอกสารที่ออกจริง (จำนวนหน้า แผ่นงาน สำเนา) และผลลัพธ์ของการออก สำเร็จ (ทั้งเล่ม) ไม่สำเร็จ

วันที่และเวลาที่เปิดตัว;

ชื่อ (ตัวระบุ) ​​ของโปรแกรม (กระบวนการ, งาน);

ตัวระบุของหัวข้อการเข้าถึงที่ร้องขอโปรแกรม (กระบวนการ งาน);

ผลการเปิดตัว (สำเร็จ, ไม่สำเร็จ - ไม่ได้รับอนุญาต);

ควรดำเนินการลงทะเบียนความพยายามในการเข้าถึงด้วยเครื่องมือซอฟต์แวร์ (โปรแกรม กระบวนการ งาน งาน) ไปยังไฟล์ที่ได้รับการป้องกัน ตัวเลือกการลงทะเบียนรวมถึง:

วันที่และเวลาที่พยายามเข้าถึงไฟล์ที่ได้รับการป้องกัน ซึ่งระบุผลลัพธ์: สำเร็จ ไม่สำเร็จ - ไม่ได้รับอนุญาต

เข้าถึงตัวระบุหัวเรื่อง;

ข้อกำหนดของไฟล์ที่ได้รับการป้องกัน

ชื่อของโปรแกรม (กระบวนการ งาน งาน) ที่เข้าถึงไฟล์

ประเภทของการดำเนินการที่ร้องขอ (การอ่าน การเขียน การลบ การดำเนินการ การขยาย ฯลฯ)

ควรดำเนินการลงทะเบียนความพยายามในการเข้าถึงซอฟต์แวร์กับวัตถุการเข้าถึงที่มีการป้องกันเพิ่มเติมต่อไปนี้: เทอร์มินัล คอมพิวเตอร์ โหนดเครือข่ายคอมพิวเตอร์ สายสื่อสาร (ช่องสัญญาณ) อุปกรณ์คอมพิวเตอร์ภายนอก โปรแกรม ไดรฟ์ข้อมูล ไดเรกทอรี ไฟล์ ระเบียน เขตข้อมูลของระเบียน ตัวเลือกการลงทะเบียนรวมถึง:

วันที่และเวลาที่พยายามเข้าถึงวัตถุที่ได้รับการคุ้มครองซึ่งระบุผลลัพธ์: สำเร็จ, ไม่สำเร็จ - ไม่ได้รับอนุญาต;

เข้าถึงตัวระบุหัวเรื่อง;

คุณสมบัติของวัตถุที่ได้รับการป้องกัน [ชื่อตรรกะ (หมายเลข)];

ชื่อของโปรแกรม (กระบวนการ งาน งาน) ที่เข้าถึงวัตถุที่ได้รับการป้องกัน

ประเภทของการดำเนินการที่ร้องขอ (อ่าน เขียน ต่อเชื่อม จับภาพ ฯลฯ );

ควรดำเนินการลงทะเบียนการเปลี่ยนแปลงอำนาจของวัตถุการเข้าถึงและสถานะของวัตถุการเข้าถึง ตัวเลือกการลงทะเบียนรวมถึง:

วันที่และเวลาที่มีการเปลี่ยนแปลงอำนาจหน้าที่

ตัวระบุของหัวเรื่องการเข้าถึง (ผู้ดูแลระบบ) ที่ทำการเปลี่ยนแปลง

ID ของหัวเรื่องที่มีการเปลี่ยนแปลงการอนุญาตและประเภทของการเปลี่ยนแปลง (รหัสผ่าน, รหัส, โปรไฟล์, ฯลฯ );

ข้อมูลจำเพาะของวัตถุที่สถานะการป้องกันถูกเปลี่ยนและประเภทของการเปลี่ยนแปลง (รหัสป้องกัน ระดับการรักษาความลับ)

สื่อที่ได้รับการคุ้มครองทั้งหมดควรนำมาพิจารณาด้วยวิธีการติดฉลาก

การบัญชีสำหรับสื่อที่ได้รับการคุ้มครองควรจัดทำในวารสาร (ตู้เก็บเอกสาร) โดยมีการลงทะเบียนการออก (แผนกต้อนรับ)

ควรทำบัญชีหลายประเภทสำหรับสื่อที่ได้รับการคุ้มครอง (ซ้ำกัน)

ควรทำความสะอาด (zeroing, depersonalization) ของพื้นที่ว่างของ RAM คอมพิวเตอร์และไดรฟ์ภายนอก การล้างจะดำเนินการโดยการเขียนซ้ำสองครั้งในพื้นที่หน่วยความจำว่างที่ใช้เก็บข้อมูลที่มีการป้องกัน

ความพยายามในการละเมิดความปลอดภัยควรส่งสัญญาณไปยังเทอร์มินัลของผู้ดูแลระบบและผู้บุกรุก

ระบบย่อยการเข้ารหัส:

การเข้ารหัสข้อมูลที่เป็นความลับทั้งหมดที่บันทึกไว้ในผู้ให้บริการข้อมูลที่ใช้ร่วมกัน (ที่ใช้ร่วมกัน) โดยหัวข้อการเข้าถึงที่แตกต่างกัน ในช่องทางการสื่อสาร เช่นเดียวกับผู้ให้บริการข้อมูลแบบพกพาที่ถอดออกได้ (ฟลอปปีดิสก์ ไมโครคาสเซ็ต ฯลฯ) ของหน่วยความจำภายนอกระยะยาวสำหรับการจัดเก็บนอกที่ทำงาน เซสชัน หัวข้อที่ได้รับอนุญาตของการเข้าถึง ในกรณีนี้ ควรบังคับทำความสะอาดพื้นที่หน่วยความจำภายนอกที่มีข้อมูลที่ไม่ได้เข้ารหัสไว้ก่อนหน้านี้

ต้องใช้วิธีการป้องกันการเข้ารหัสที่ผ่านการรับรอง การรับรองจะดำเนินการโดยศูนย์รับรองพิเศษหรือองค์กรเฉพาะทางที่ได้รับใบอนุญาตให้รับรองเครื่องมือรักษาความปลอดภัยแบบเข้ารหัสลับ

ระบบย่อยความซื่อสัตย์:

ต้องมั่นใจในความสมบูรณ์ของเครื่องมือซอฟต์แวร์ NSD SZI ตลอดจนความไม่เปลี่ยนรูปของสภาพแวดล้อมซอฟต์แวร์

โดยที่:

ความสมบูรณ์ของระบบข้อมูลความปลอดภัยของข้อมูลของ NSD นั้นถูกตรวจสอบโดยผลรวมของส่วนประกอบทั้งหมดของระบบป้องกันข้อมูล ทั้งในระหว่างการโหลดและแบบไดนามิกระหว่างการทำงานของ AU

ความสมบูรณ์ของสภาพแวดล้อมซอฟต์แวร์รับประกันโดยคุณภาพของการยอมรับซอฟต์แวร์ใน AU ซึ่งออกแบบมาเพื่อประมวลผลไฟล์ที่มีการป้องกัน

ควรมีการป้องกันทางกายภาพของ ICT (อุปกรณ์และผู้ให้บริการข้อมูล) เพื่อให้มีการป้องกันอาณาเขตและอาคารที่ NPP ตั้งอยู่อย่างต่อเนื่องโดยใช้อุปกรณ์รักษาความปลอดภัยทางเทคนิคและบุคลากรพิเศษ การควบคุมการเข้าออกอย่างเข้มงวด อุปกรณ์พิเศษของสถานที่ NPP;

ควรมีผู้ดูแลระบบรักษาความปลอดภัยข้อมูล (บริการ) ที่รับผิดชอบในการบำรุงรักษา การทำงานปกติ และการควบคุมการทำงานของระบบป้องกันข้อมูล NSD ผู้ดูแลระบบต้องมีสถานีของตนเองและวิธีการควบคุมการปฏิบัติงานที่จำเป็นและผลกระทบต่อความปลอดภัยของโรงไฟฟ้านิวเคลียร์

ควรมีวิธีการในการกู้คืน SZI UA ที่พร้อมใช้งาน โดยจัดให้มีการบำรุงรักษาซอฟต์แวร์ IS IS สองชุด และการอัปเดตตามระยะเวลาและการตรวจสอบประสิทธิภาพ ตลอดจนการกู้คืนฟังก์ชันของ IS UA ในทันทีในกรณีที่เกิดความล้มเหลว

ต้องใช้อุปกรณ์ป้องกันที่ผ่านการรับรอง การรับรองจะดำเนินการโดยศูนย์รับรองพิเศษหรือองค์กรเฉพาะทางที่ได้รับอนุญาตให้รับรองวิธีการป้องกัน SZI NSD

2.15. ข้อกำหนดสำหรับการรักษาความปลอดภัยระดับ 1A:

ระบบย่อยการควบคุมการเข้าถึง:

การระบุและรับรองความถูกต้องของวัตถุที่เข้าถึงควรดำเนินการเมื่อเข้าสู่ระบบด้วยคุณสมบัติไบโอเมตริกซ์หรือ อุปกรณ์พิเศษ(โทเค็น, การ์ด, กุญแจอิเล็กทรอนิกส์) และรหัสผ่านชั่วคราวที่มีอักขระที่เป็นตัวอักษรและตัวเลขคละกันอย่างน้อยแปดตัว

การระบุฮาร์ดแวร์และการตรวจสอบความถูกต้องของเทอร์มินัล คอมพิวเตอร์ โหนดเครือข่ายคอมพิวเตอร์ ช่องทางการสื่อสาร อุปกรณ์คอมพิวเตอร์ภายนอกที่ใช้อุปกรณ์ในตัวที่ไม่ซ้ำใครควรดำเนินการ

การระบุและรับรองความถูกต้องของโปรแกรม วอลุ่ม ไดเร็กทอรี ไฟล์ เร็กคอร์ด ฟิลด์เร็กคอร์ดตามชื่อและเช็คซัม (รหัสผ่าน คีย์) ควรดำเนินการ

การควบคุมการเข้าถึงของอาสาสมัครในทรัพยากรที่ได้รับการคุ้มครองควรดำเนินการตามเมทริกซ์การเข้าถึง

ควรควบคุมการไหลของข้อมูลโดยใช้ป้ายกำกับระดับความลับ ในเวลาเดียวกัน ระดับการรักษาความลับของไดรฟ์จะต้องไม่ต่ำกว่าระดับการรักษาความลับของข้อมูลที่บันทึกไว้

ระบบย่อยของการลงทะเบียนและการบัญชี:

การลงทะเบียนการเข้า (ออก) ของการเข้าถึงขึ้นอยู่กับระบบ (จากระบบ) หรือการลงทะเบียนการโหลดและการเริ่มต้นระบบปฏิบัติการและการปิดซอฟต์แวร์ของระบบปฏิบัติการ การออกจากระบบหรือการปิดระบบไม่ได้ดำเนินการในเวลาที่ฮาร์ดแวร์ปิดตัวของ AU ตัวเลือกการลงทะเบียนรวมถึง:

วันที่และเวลาที่เข้า (ออก) ของเรื่องการเข้าถึงระบบ (จากระบบ) หรือการโหลด (หยุด) ของระบบ

ผลลัพธ์ของการพยายามเข้าสู่ระบบ: สำเร็จหรือไม่สำเร็จ - ไม่ได้รับอนุญาต;

ตัวระบุ (รหัสหรือนามสกุล) ของเรื่องที่นำเสนอในระหว่างการพยายามเข้าถึง

รหัสหรือรหัสผ่านที่แสดงในระหว่างการพยายามไม่สำเร็จ

การลงทะเบียนการออกเอกสารที่พิมพ์ (กราฟิก) สำหรับสำเนา "ยาก" ควรดำเนินการ การออกจะต้องมาพร้อมกับการทำเครื่องหมายอัตโนมัติของแต่ละแผ่น (หน้า) ของเอกสารพร้อมหมายเลขซีเรียลและรายละเอียดการบัญชี AS ที่ระบุจำนวนแผ่นทั้งหมด (หน้า) ในแผ่นงานสุดท้ายของเอกสาร

ร่วมกับการออกเอกสาร บัตรลงทะเบียนของเอกสารควรถูกวาดขึ้นโดยอัตโนมัติโดยระบุวันที่ออกเอกสาร รายละเอียดการบัญชีของเอกสาร สรุป (ชื่อ ประเภท รหัส รหัส) และระดับของ การรักษาความลับของเอกสาร, ชื่อของผู้ออกเอกสาร, จำนวนหน้าและสำเนาของเอกสาร (ในกรณีที่ออกเอกสารไม่สมบูรณ์ - จำนวนแผ่นที่ออกจริงในคอลัมน์ "การแต่งงาน") ตัวเลือกการลงทะเบียนรวมถึง:

วันที่และเวลาที่ออก (อ้างอิงถึงระบบย่อยเอาต์พุต);

การออกข้อกำหนดอุปกรณ์ [ชื่อตรรกะ (หมายเลข) ของอุปกรณ์ภายนอก];

ตัวระบุของหัวเรื่องการเข้าถึงที่ร้องขอเอกสาร

ปริมาณของเอกสารที่ออกจริง (จำนวนหน้า แผ่นงาน สำเนา) และผลลัพธ์ของการออก: สำเร็จ (ทั้งเล่ม) ไม่สำเร็จ

การลงทะเบียนการเปิดตัว (เสร็จสิ้น) ของโปรแกรมและกระบวนการทั้งหมด (งาน, งาน) ใน AS ควรดำเนินการ ตัวเลือกการลงทะเบียนรวมถึง:

วันที่และเวลาที่เปิดตัว;

ชื่อ (ตัวระบุ) ​​ของโปรแกรม (กระบวนการ, งาน);

ตัวระบุของหัวข้อการเข้าถึงที่ร้องขอโปรแกรม (กระบวนการ งาน);

ผลการเปิดตัว (สำเร็จ, ไม่สำเร็จ - ไม่ได้รับอนุญาต);

ข้อมูลจำเพาะทั้งหมดของไฟล์ "รูปภาพ" ที่สอดคล้องกันของโปรแกรม (กระบวนการ, งาน) - อุปกรณ์ (โวลุ่ม, ไดเรกทอรี), ชื่อไฟล์ (ส่วนขยาย);

ควรดำเนินการลงทะเบียนความพยายามในการเข้าถึงด้วยเครื่องมือซอฟต์แวร์ (โปรแกรม กระบวนการ งาน งาน) ไปยังไฟล์ที่ได้รับการป้องกัน ตัวเลือกการลงทะเบียนรวมถึง:

วันที่และเวลาที่พยายามเข้าถึงไฟล์ที่ได้รับการป้องกัน ซึ่งระบุผลลัพธ์: สำเร็จ ไม่สำเร็จ - ไม่ได้รับอนุญาต

เข้าถึงตัวระบุหัวเรื่อง;

ข้อกำหนดของไฟล์ที่ได้รับการป้องกัน

ชื่อของโปรแกรม (กระบวนการ, งาน, งาน) ที่เข้าถึงไฟล์, ประเภทของการดำเนินการที่ร้องขอ (การอ่าน, การเขียน, การลบ, การดำเนินการ, การขยาย ฯลฯ );

ควรดำเนินการลงทะเบียนความพยายามในการเข้าถึงซอฟต์แวร์กับวัตถุการเข้าถึงที่มีการป้องกันเพิ่มเติมต่อไปนี้: เทอร์มินัล คอมพิวเตอร์ โหนดเครือข่ายคอมพิวเตอร์ สายสื่อสาร (ช่องสัญญาณ) อุปกรณ์คอมพิวเตอร์ภายนอก โปรแกรม ไดรฟ์ข้อมูล ไดเรกทอรี ไฟล์ ระเบียน เขตข้อมูลของระเบียน ตัวเลือกการลงทะเบียนรวมถึง:

วันที่และเวลาที่พยายามเข้าถึงวัตถุที่ได้รับการคุ้มครองซึ่งระบุผลลัพธ์: สำเร็จ, ไม่สำเร็จ - ไม่ได้รับอนุญาต;

เข้าถึงตัวระบุหัวเรื่อง;

คุณสมบัติของวัตถุที่ได้รับการป้องกัน [ชื่อตรรกะ (หมายเลข)];

ชื่อของโปรแกรม (กระบวนการ งาน งาน) ที่เข้าถึงวัตถุที่ได้รับการป้องกัน

ประเภทของการดำเนินการที่ร้องขอ (อ่าน เขียน ต่อเชื่อม จับภาพ ฯลฯ );

ควรดำเนินการลงทะเบียนการเปลี่ยนแปลงอำนาจของวัตถุการเข้าถึงและสถานะของวัตถุการเข้าถึง ตัวเลือกการลงทะเบียนรวมถึง:

วันที่และเวลาที่มีการเปลี่ยนแปลงอำนาจหน้าที่และสถานะ

ตัวระบุของหัวเรื่องการเข้าถึง (ผู้ดูแลระบบ) ที่ทำการเปลี่ยนแปลง

ตัวระบุหัวข้อการเข้าถึงซึ่งสิทธิ์และประเภทของการเปลี่ยนแปลง (รหัสผ่าน รหัส โปรไฟล์ ฯลฯ) มีการเปลี่ยนแปลง

ข้อมูลจำเพาะของวัตถุที่มีการเปลี่ยนแปลงสถานะการป้องกันและประเภทของการเปลี่ยนแปลง (รหัสป้องกัน ระดับการรักษาความลับ)

สร้างไฟล์ที่ได้รับการป้องกัน, เริ่มต้นไดรฟ์ข้อมูลที่ได้รับการป้องกัน, ไดเร็กทอรี, พื้นที่ RAM ของคอมพิวเตอร์ที่จัดสรรสำหรับการประมวลผลไฟล์ที่ได้รับการป้องกัน, อุปกรณ์คอมพิวเตอร์ภายนอก, ช่องทางการสื่อสาร, คอมพิวเตอร์, โหนดเครือข่ายคอมพิวเตอร์, ชิ้นส่วนเครือข่ายควรนำมาพิจารณาโดยอัตโนมัติด้วยความช่วยเหลือของการทำเครื่องหมายเพิ่มเติมที่ใช้ใน ควบคุมการเข้าถึงระบบย่อย การทำเครื่องหมายควรสะท้อนถึงระดับการรักษาความลับของวัตถุ

สื่อที่ได้รับการคุ้มครองทั้งหมดควรได้รับการพิจารณาโดยการทำเครื่องหมายและป้อนข้อมูลประจำตัวในวารสาร (บัตรลงทะเบียน)

การบัญชีสำหรับสื่อที่ได้รับการคุ้มครองควรจัดทำในวารสาร (ตู้เก็บเอกสาร) โดยมีการลงทะเบียนการออก (แผนกต้อนรับ)

ควรทำบัญชีหลายประเภทสำหรับสื่อที่ได้รับการคุ้มครอง (ซ้ำกัน)

ควรทำความสะอาด (zeroing, depersonalization) ของพื้นที่ว่างของ RAM คอมพิวเตอร์และไดรฟ์ภายนอก การล้างจะดำเนินการโดยการเขียนซ้ำสองครั้งในพื้นที่หน่วยความจำอิสระที่มีข้อมูลที่ได้รับการป้องกัน

การส่งสัญญาณที่เชื่อถือได้ของความพยายามที่จะละเมิดการป้องกันควรดำเนินการบนเทอร์มินัลของผู้ดูแลระบบและผู้บุกรุก

ระบบย่อยการเข้ารหัส:

การเข้ารหัสข้อมูลที่เป็นความลับทั้งหมดที่บันทึกไว้ในผู้ให้บริการข้อมูลที่ใช้ร่วมกัน (ที่ใช้ร่วมกัน) โดยหัวข้อการเข้าถึงที่แตกต่างกัน ในช่องทางการสื่อสาร เช่นเดียวกับผู้ให้บริการข้อมูลที่ถอดออกได้ (ฟลอปปีดิสก์ ไมโครคาสเซ็ต ฯลฯ) ของหน่วยความจำภายนอกระยะยาวสำหรับการจัดเก็บนอกที่ทำงาน เซสชัน หัวข้อที่ได้รับอนุญาตของการเข้าถึง ในเวลาเดียวกัน พื้นที่ของหน่วยความจำภายนอกที่มีข้อมูลที่ไม่ได้เข้ารหัสก่อนหน้านี้ควรถูกล้างโดยอัตโนมัติ

ควรใช้คีย์การเข้ารหัสที่แตกต่างกันเพื่อเข้ารหัสข้อมูลที่เป็นของหัวข้อการเข้าถึงที่แตกต่างกัน (กลุ่มของหัวข้อ)

การเข้าถึงการดำเนินการเข้ารหัสของหัวเรื่องและคีย์การเข้ารหัสที่เกี่ยวข้องจะต้องถูกควบคุมเพิ่มเติมโดยระบบย่อยการควบคุมการเข้าถึง

ต้องใช้วิธีการป้องกันการเข้ารหัสที่ผ่านการรับรอง การรับรองจะดำเนินการโดยศูนย์รับรองพิเศษหรือองค์กรเฉพาะทางที่ได้รับใบอนุญาตให้รับรองเครื่องมือรักษาความปลอดภัยแบบเข้ารหัสลับ

ระบบย่อยความซื่อสัตย์:

ต้องมั่นใจในความสมบูรณ์ของเครื่องมือซอฟต์แวร์ NSD SZI ตลอดจนความไม่เปลี่ยนรูปของสภาพแวดล้อมซอฟต์แวร์

โดยที่:

ความสมบูรณ์ของระบบข้อมูลความปลอดภัยของข้อมูลของ NSD ถูกตรวจสอบโดยการแทรกการจำลองของอัลกอริทึม GOST 28147-89 หรือโดยการตรวจสอบของอัลกอริทึมอื่นที่ผ่านการรับรองของส่วนประกอบระบบป้องกันข้อมูลทั้งหมดทั้งในระหว่างการโหลดและแบบไดนามิกระหว่างการทำงานของ AU ;

ความสมบูรณ์ของสภาพแวดล้อมซอฟต์แวร์รับประกันโดยคุณภาพของการยอมรับซอฟต์แวร์ใดๆ ใน AU

ควรมีการป้องกันทางกายภาพของ ICT (อุปกรณ์และผู้ให้บริการข้อมูล) เพื่อให้มีการป้องกันอาณาเขตและอาคารที่ NPP ตั้งอยู่อย่างต่อเนื่องโดยใช้อุปกรณ์รักษาความปลอดภัยทางเทคนิคและบุคลากรพิเศษ การควบคุมการเข้าออกอย่างเข้มงวด อุปกรณ์พิเศษของสถานที่ NPP;

ควรมีผู้ดูแลระบบรักษาความปลอดภัยข้อมูล (บริการ) ที่รับผิดชอบในการบำรุงรักษา การทำงานปกติ และการควบคุมการทำงานของระบบป้องกันข้อมูล NSD ผู้ดูแลระบบต้องมีสถานีของตนเองและวิธีการควบคุมการปฏิบัติงานที่จำเป็นและผลกระทบต่อความปลอดภัยของโรงไฟฟ้านิวเคลียร์

การทดสอบฟังก์ชั่นทั้งหมดของระบบรักษาความปลอดภัยข้อมูลของ NSD เป็นระยะด้วยความช่วยเหลือของซอฟต์แวร์พิเศษควรดำเนินการอย่างน้อยไตรมาสละครั้ง

ควรมีวิธีการในการกู้คืน SZI UA ที่พร้อมใช้งาน โดยจัดให้มีการบำรุงรักษาซอฟต์แวร์ IS IPS สองชุด และการอัปเดตตามระยะเวลาและการตรวจสอบประสิทธิภาพ ตลอดจนการคืนค่าฟังก์ชันของ ISS UA แบบออนไลน์โดยอัตโนมัติในกรณีที่เกิดความล้มเหลว

ต้องใช้อุปกรณ์ป้องกันที่ผ่านการรับรอง การรับรองจะดำเนินการโดยศูนย์รับรองพิเศษหรือองค์กรเฉพาะทางที่ได้รับอนุญาตให้รับรองวิธีการป้องกัน SZI NSD

2.16. มาตรการขององค์กรภายในกรอบของระบบรักษาความปลอดภัยข้อมูลของ NSD ใน AU การประมวลผลหรือการจัดเก็บข้อมูลที่เป็นทรัพย์สินของรัฐและจัดเป็นความลับต้องเป็นไปตามข้อกำหนดของรัฐเพื่อให้แน่ใจว่างานที่ทำนั้นเป็นความลับ

2.17. เมื่อประมวลผลหรือจัดเก็บข้อมูลใน AS ที่ไม่ได้จัดประเภทเป็นความลับ ภายในกรอบของระบบรักษาความปลอดภัยข้อมูลของ NSD ขอแนะนำให้ใช้มาตรการขององค์กรต่อไปนี้:

การระบุข้อมูลที่เป็นความลับและเอกสารประกอบในรูปแบบของรายการข้อมูลที่จะได้รับการคุ้มครอง

การกำหนดขั้นตอนการกำหนดระดับอำนาจของเรื่องการเข้าถึงตลอดจนกลุ่มบุคคลที่ได้รับสิทธิ์นี้

การจัดตั้งและการปฏิบัติตามกฎการควบคุมการเข้าถึง เช่น ชุดของกฎที่ควบคุมสิทธิ์ในการเข้าถึงวัตถุ

ทำความคุ้นเคยกับรายการข้อมูลที่ได้รับการคุ้มครองและระดับอำนาจหน้าที่ ตลอดจนเอกสารขององค์กร การบริหาร และการทำงานที่กำหนดข้อกำหนดและขั้นตอนในการประมวลผลข้อมูลที่เป็นความลับ

ได้รับจากเรื่องการเข้าถึงการไม่เปิดเผยข้อมูลลับที่ได้รับมอบหมายให้เขา;

ให้ความคุ้มครองสถานที่ซึ่ง NPP ที่ได้รับการคุ้มครองตั้งอยู่ (อาณาเขต อาคาร สถานที่ สื่อจัดเก็บ) โดยจัดให้มีเสาที่เหมาะสม วิธีการป้องกันทางเทคนิค หรือโดยวิธีอื่นใดที่ป้องกันหรือขัดขวางการโจรกรรมอุปกรณ์คอมพิวเตอร์ (SVT) อย่างมีนัยสำคัญ , สื่อข้อมูล และ NSD ถึง SVT และสายสื่อสาร

การเลือกคลาสความปลอดภัย AS ตามลักษณะของการประมวลผลข้อมูล (เทคโนโลยีการประมวลผล เงื่อนไขการทำงานเฉพาะของ AS) และระดับของการรักษาความลับ

องค์กรของบริการรักษาความปลอดภัยข้อมูล (ผู้รับผิดชอบ, ผู้ดูแลระบบของ AS) ซึ่งรับผิดชอบด้านการบัญชี, การจัดเก็บและการออกสื่อข้อมูล, รหัสผ่าน, คีย์, การบำรุงรักษาข้อมูลบริการของสถานที่รักษาความปลอดภัยข้อมูลของ NSD (การสร้างรหัสผ่าน, คีย์) การบำรุงรักษากฎการควบคุมการเข้าถึง) การยอมรับซอฟต์แวร์ใหม่ที่รวมอยู่ใน AS ตลอดจนการควบคุมกระบวนการทางเทคโนโลยีในการประมวลผลข้อมูลที่เป็นความลับ ฯลฯ

การพัฒนาระบบรักษาความปลอดภัยข้อมูลของ NSD รวมถึงเอกสารขององค์กร การบริหาร และการปฏิบัติงานที่เกี่ยวข้อง

การดำเนินการยอมรับสิ่งอำนวยความสะดวกด้านความปลอดภัยข้อมูลของ NSD โดยเป็นส่วนหนึ่งของ AU

2.18. เมื่อพัฒนา AS ที่ออกแบบมาเพื่อประมวลผลหรือจัดเก็บข้อมูลที่เป็นทรัพย์สินของรัฐและจัดเป็นความลับจำเป็นต้องให้ความสำคัญตาม RD "สิ่งอำนวยความสะดวกคอมพิวเตอร์ การป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต ตัวบ่งชี้ความปลอดภัยจากการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต " ในคลาสความปลอดภัย AS ไม่ต่ำกว่า (ตามกลุ่ม) 3A, 2A, 1A, 1B, 1C และใช้ SVT ที่ผ่านการรับรอง:

ไม่ต่ำกว่าคลาส 4 - สำหรับคลาสความปลอดภัย AC 1B;

ไม่ต่ำกว่าคลาส 3 - สำหรับคลาสความปลอดภัย AS 1B;

ไม่ต่ำกว่าคลาส 2 - สำหรับคลาสความปลอดภัย AC 1A