ข้อมูลส่วนใหญ่ใน โลกสมัยใหม่แปรรูปใน ระบบอัตโนมัติอา (AS). ดังนั้น AS จึงเป็นเป้าหมายของการป้องกันที่ "ได้รับความนิยมมากที่สุด" AS ปฏิบัติการทั้งหมดที่ประมวลผลข้อมูลที่เป็นความลับตามลำดับซึ่งต้องการการปกป้องจากการเข้าถึงโดยไม่ได้รับอนุญาตจะถูกจัดประเภทตามเอกสารแนวทางของคณะกรรมการเทคนิคแห่งรัฐของรัสเซีย "ระบบอัตโนมัติ การป้องกันจากการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต การจำแนก AS และข้อกำหนดสำหรับการปกป้องข้อมูล ".
ตามเอกสารการจัดประเภทของ AU มีขั้นตอนต่อไปนี้:
- การพัฒนาและวิเคราะห์ข้อมูลเบื้องต้น
- การระบุคุณสมบัติหลักของ AS ที่จำเป็นสำหรับการจำแนกประเภท
- การเปรียบเทียบสัญญาณที่ระบุของ AS กับสัญญาณที่จำแนก
- การมอบหมาย AS ของคลาสการป้องกันข้อมูลที่เหมาะสมจากการเข้าถึงโดยไม่ได้รับอนุญาต
ข้อมูลเบื้องต้นสำหรับการจำแนกประเภทของ AU คือ:
- รายชื่อแหล่งข้อมูล AS ที่ได้รับการคุ้มครองและระดับการรักษาความลับ
- รายชื่อบุคคลที่มีสิทธิ์เข้าถึงสิ่งอำนวยความสะดวก AS ปกติ ซึ่งระบุระดับอำนาจหน้าที่ของพวกเขา
- การเข้าถึงหรือเมทริกซ์อำนาจ เข้าถึงวิชาที่เกี่ยวข้องกับทรัพยากรข้อมูลที่ได้รับการคุ้มครองของ AS
- โหมดการประมวลผลข้อมูลใน AS
ทางเลือกของคลาส AC นั้นทำโดยลูกค้าและผู้พัฒนาโดยมีส่วนร่วมของผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูล
คุณลักษณะที่กำหนดของการจัดประเภท AS มีดังต่อไปนี้:
- ความพร้อมของข้อมูลใน AS ระดับต่างๆความเป็นส่วนตัว;
- ระดับอำนาจ เข้าถึงวิชา AS สำหรับการเข้าถึงข้อมูลที่เป็นความลับ;
- โหมดการประมวลผลข้อมูลใน AS - แบบรวมหรือส่วนบุคคล
ติดตั้งแล้ว การป้องกัน AS 9 ระดับจากการเข้าถึงโดยไม่ได้รับอนุญาตสำหรับข้อมูล แต่ละชั้นมีลักษณะเฉพาะตามข้อกำหนดการป้องกันขั้นต่ำชุดหนึ่ง ชั้นเรียนแบ่งออกเป็น 3 กลุ่ม:
- กลุ่ม III - คลาส 3B และ 3A.
คลาสสอดคล้องกับระบบอัตโนมัติที่ผู้ใช้รายหนึ่งยอมรับข้อมูลทั้งหมดใน AS ซึ่งวางไว้บนสื่อที่มีการรักษาความลับในระดับเดียวกัน
- กลุ่ม II - คลาส 2B และ 2A.
คลาสของกลุ่มนี้สอดคล้องกับระบบอัตโนมัติที่ผู้ใช้มีสิทธิ์เข้าถึงข้อมูลทั้งหมดใน AS เหมือนกัน ประมวลผลหรือจัดเก็บไว้ในสื่อที่มีระดับการรักษาความลับต่างกัน
- กลุ่ม I - คลาส 1D, 1G, 1C, 1B และ 1A.
ระบบอัตโนมัติเหล่านี้ประมวลผลหรือจัดเก็บข้อมูลพร้อมกัน ระดับต่างๆความเป็นส่วนตัว. ผู้ใช้บางคนไม่สามารถเข้าถึงข้อมูลทั้งหมดใน AS
น่าสนใจ เอกสารระบุ 4 ระบบย่อยเพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต:
- การควบคุมการเข้าถึง;
- การลงทะเบียนและการบัญชี
- การเข้ารหัส;
- ความซื่อสัตย์.
ขึ้นอยู่กับคลาสของ AU ข้อกำหนดสำหรับระบบย่อยที่ระบุไว้นั้นแตกต่างกันไป (ตาราง 8.1, 8.2, 8.3) ยอมรับการกำหนดต่อไปนี้:
"-" - ไม่มีข้อกำหนดสำหรับคลาสนี้
"+" - มีข้อกำหนดสำหรับคลาสนี้
ระบบย่อยและข้อกำหนด | ชั้นเรียน | ||||
---|---|---|---|---|---|
1D | 1G | 1B | 1B | 1A | |
การควบคุมการเข้าถึงวิชา: | |||||
เข้าสู่ระบบ | + | + | + | + | + |
- | + | + | + | + | |
สู่โปรแกรม | - | + | + | + | + |
- | + | + | + | + | |
1.2. ควบคุม กระแสข้อมูล | - | - | + | + | + |
2.1. การลงทะเบียนและการบัญชี: | |||||
เข้า (ออก) เข้าถึงวิชา | + | + | + | + | + |
- | + | + | + | + | |
- | + | + | + | + | |
การเข้าถึงโปรแกรม เข้าถึงวิชา | - | + | + | + | + |
การเข้าถึงโปรแกรม เข้าถึงวิชา | - | + | + | + | + |
การเปลี่ยนแปลงอำนาจ เข้าถึงวิชา | - | - | + | + | + |
- | - | + | + | + | |
+ | + | + | + | + | |
- | + | + | + | + | |
- | - | + | + | + | |
- | - | - | + | + | |
เข้าถึงวิชา | - | - | - | - | + |
การเข้ารหัสหมายถึง | - | - | - | + | + |
+ | + | + | + | + | |
+ | + | + | + | + | |
- | - | + | + | + | |
+ | + | + | + | + | |
+ | + | + | + | + | |
- | - | + | + | + |
ระบบย่อยและข้อกำหนด | ชั้นเรียน | |
---|---|---|
2B | 2A | |
1. ระบบย่อยการควบคุมการเข้าออก | ||
1.1. การระบุ การรับรองความถูกต้อง และ การควบคุมการเข้าถึงวิชา: | ||
เข้าสู่ระบบ | + | + |
ไปยังขั้ว, คอมพิวเตอร์, โหนดเครือข่ายคอมพิวเตอร์, ช่องทางการสื่อสาร, อุปกรณ์คอมพิวเตอร์ภายนอก | - | + |
สู่โปรแกรม | - | + |
ไปยังวอลุ่ม ไดเร็กทอรี ไฟล์ เร็กคอร์ด ฟิลด์เร็กคอร์ด | - | + |
1.2. ควบคุม กระแสข้อมูล | - | + |
2. ระบบย่อยการลงทะเบียนและบัญชี | ||
2.1. การลงทะเบียนและการบัญชี: | ||
เข้า (ออก) เข้าถึงวิชาถึง (จาก) ระบบ (โฮสต์) | + | + |
การออกเอกสารส่งออก (กราฟิก) ที่พิมพ์ออกมา | - | + |
การเปิดตัว (เสร็จสิ้น) โปรแกรมและกระบวนการ (งาน งาน) | - | + |
การเข้าถึงโปรแกรม เข้าถึงวิชาไปยังไฟล์ที่มีการป้องกัน รวมถึงการสร้างและการลบ การส่งผ่านสายและช่องทางการสื่อสาร | - | + |
การเข้าถึงโปรแกรม เข้าถึงวิชาไปยังเทอร์มินัล, คอมพิวเตอร์, โหนดเครือข่ายคอมพิวเตอร์, ช่องทางการสื่อสาร, อุปกรณ์คอมพิวเตอร์ภายนอก, โปรแกรม, ไดรฟ์ข้อมูล, ไดเร็กทอรี, ไฟล์, เรกคอร์ด, ฟิลด์บันทึก | - | + |
การเปลี่ยนแปลงอำนาจ เข้าถึงวิชา | - | - |
สร้างวัตถุการเข้าถึงที่ปลอดภัย | - | + |
2.2. การบัญชีสำหรับสื่อบันทึกข้อมูล | + | + |
การทำความสะอาด (zeroing, depersonalization) ของพื้นที่ว่าง หน่วยความจำเข้าถึงโดยสุ่มคอมพิวเตอร์และไดรฟ์ภายนอก | - | + |
2.4. การส่งสัญญาณพยายามละเมิดการป้องกัน | - | - |
3. ระบบย่อยการเข้ารหัส | ||
3.1. การเข้ารหัสข้อมูลที่ละเอียดอ่อน | - | + |
3.2. การเข้ารหัสข้อมูลที่เป็นของที่แตกต่างกัน เข้าถึงวิชา(กลุ่มวิชา) ในคีย์ต่างๆ | - | - |
3.3. การใช้ใบรับรอง (certified) การเข้ารหัสหมายถึง | - | + |
4. ระบบย่อยความสมบูรณ์ | ||
4.1. รับรองความสมบูรณ์ของซอฟต์แวร์และข้อมูลที่ประมวลผล | + | + |
4.2. การป้องกันทางกายภาพของอุปกรณ์คอมพิวเตอร์และผู้ให้บริการข้อมูล | + | + |
4.3. การปรากฏตัวของผู้ดูแลระบบ (บริการ) ของการปกป้องข้อมูลในAS | - | + |
4.4. การทดสอบ SZI NSD . เป็นระยะ | - | + |
4.5. ความพร้อมของวิธีการกู้คืนระบบรักษาความปลอดภัยข้อมูลNSD | + | + |
4.6. การใช้อุปกรณ์ป้องกันที่ผ่านการรับรอง | - | + |
ระบบย่อยและข้อกำหนด | ชั้นเรียน | |
---|---|---|
3B | 3A | |
1. ระบบย่อยการควบคุมการเข้าออก | ||
1.1. การระบุ การรับรองความถูกต้อง และ การควบคุมการเข้าถึงวิชา: | ||
เข้าสู่ระบบ | + | + |
ไปยังขั้ว, คอมพิวเตอร์, โหนดเครือข่ายคอมพิวเตอร์, ช่องทางการสื่อสาร, อุปกรณ์คอมพิวเตอร์ภายนอก | - | - |
สู่โปรแกรม | - | - |
ไปยังวอลุ่ม ไดเร็กทอรี ไฟล์ เร็กคอร์ด ฟิลด์เร็กคอร์ด | - | - |
1.2. ควบคุม | - | - |
การเข้าถึงโปรแกรม เข้าถึงวิชาไปยังเทอร์มินัล, คอมพิวเตอร์, โหนดเครือข่ายคอมพิวเตอร์, ช่องทางการสื่อสาร, อุปกรณ์คอมพิวเตอร์ภายนอก, โปรแกรม, ไดรฟ์ข้อมูล, ไดเร็กทอรี, ไฟล์, เรกคอร์ด, ฟิลด์บันทึก | - | - |
การเปลี่ยนแปลงอำนาจ เข้าถึงวิชา | - | - |
สร้างวัตถุการเข้าถึงที่ปลอดภัย | - | - |
2.2. การบัญชีสำหรับสื่อบันทึกข้อมูล | + | + |
การทำความสะอาด (zeroing, depersonalization) ของพื้นที่ว่างของ RAM คอมพิวเตอร์และไดรฟ์ภายนอก | - | + |
2.4. การส่งสัญญาณพยายามละเมิดการป้องกัน | - | - |
3. ระบบย่อยการเข้ารหัส | ||
3.1. การเข้ารหัสข้อมูลที่ละเอียดอ่อน | - | - |
3.2. การเข้ารหัสข้อมูลที่เป็นของที่แตกต่างกัน เข้าถึงวิชา(กลุ่มวิชา) ในคีย์ต่างๆ | - | - |
3.3. การใช้ใบรับรอง (certified) การเข้ารหัสหมายถึง | - | - |
4. ระบบย่อยความสมบูรณ์ | ||
4.1. รับรองความสมบูรณ์ของซอฟต์แวร์และข้อมูลที่ประมวลผล | + | + |
4.2. การป้องกันทางกายภาพของอุปกรณ์คอมพิวเตอร์และผู้ให้บริการข้อมูล | + | + |
4.3. การปรากฏตัวของผู้ดูแลระบบ (บริการ) ของการปกป้องข้อมูลในAS | - | = |
4.4. การทดสอบ SZI NSD . เป็นระยะ | + | + |
4.5. ความพร้อมของวิธีการกู้คืนระบบรักษาความปลอดภัยข้อมูลNSD | + | + |
4.6. การใช้อุปกรณ์ป้องกันที่ผ่านการรับรอง | - | + |
รายละเอียดเพิ่มเติมข้อกำหนดขึ้นอยู่กับระดับความปลอดภัยได้อธิบายไว้ในเอกสารแนวทางของคณะกรรมการเทคนิคแห่งรัสเซีย "ระบบอัตโนมัติ การป้องกันจากการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต การจำแนกประเภทของ AU และข้อกำหนดสำหรับการปกป้องข้อมูล" การแก้ไขคลาสความปลอดภัย AS นั้นมีผลบังคับใช้ หากมีการเปลี่ยนแปลงเกณฑ์อย่างน้อยหนึ่งเกณฑ์ตามเกณฑ์ที่กำหนด
หาก AU ซึ่งจัดประเภทก่อนหน้านี้ รวมอยู่ในเครือข่ายคอมพิวเตอร์หรือระบบ และเชื่อมต่อกับวิธีการทางเทคนิคอื่น ๆ ด้วยสายการสื่อสารที่มีลักษณะทางกายภาพต่างๆ AU ที่เป็นผลลัพธ์จะมีมากกว่า ระดับสูงถูกจัดประเภทโดยรวม แต่ไม่มีการจัดประเภทสำหรับ AS ระดับล่าง
หาก AS ของคลาสความปลอดภัยต่างกันรวมกัน ดังนั้น AS ที่รวมเข้าด้วยกันควรจัดประเภทตามคลาสความปลอดภัยสูงสุดของ AS ที่รวมอยู่ในนั้น ยกเว้นเมื่อรวมกันผ่านไฟร์วอลล์ เมื่อ AS ที่รวมกันแต่ละรายการสามารถรักษาคลาสความปลอดภัยของตนเองได้ .
เอกสารแนะแนว
ระบบอัตโนมัติ
การป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต
การจำแนกประเภทของระบบอัตโนมัติและข้อกำหนดด้านความปลอดภัยของข้อมูล
อนุมัติโดยการตัดสินใจของประธานคณะกรรมการเทคนิคแห่งรัฐภายใต้ประธานาธิบดี สหพันธรัฐรัสเซีย 30 มีนาคม 1992
1. การจำแนกประเภท AC
2. ข้อกำหนดสำหรับการปกป้องข้อมูลจากการเข้าถึงโดยไม่ได้รับอนุญาตสำหรับ AU
เอกสารคำแนะนำนี้กำหนดประเภทของระบบอัตโนมัติเพื่อป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต และข้อกำหนดสำหรับการปกป้องข้อมูลใน AU ของคลาสต่างๆ
เอกสารคำแนะนำได้รับการพัฒนาเพิ่มเติมจาก GOST 34.003-90, GOST 34.601-90, RD 50-680-88, RD 50-34.680-90 และเอกสารอื่น ๆ
เอกสารนี้สามารถใช้เป็นเอกสารกำกับดูแลและระเบียบวิธีสำหรับลูกค้าและนักพัฒนา AS ในการกำหนดและการดำเนินการตามข้อกำหนดด้านการป้องกัน
ตัวย่อที่ยอมรับ
AS - ระบบอัตโนมัติ
NSD - การเข้าถึงโดยไม่ได้รับอนุญาต
RD - เอกสารแนะนำ
SZI - ระบบรักษาความปลอดภัยข้อมูล
SZI NSD - ระบบสำหรับปกป้องข้อมูลจากการเข้าถึงโดยไม่ได้รับอนุญาต
1. การจำแนกประเภท AC
1.1. การจัดประเภทใช้กับ AS ที่ดำเนินการและคาดการณ์ทั้งหมดของสถาบัน องค์กร และองค์กรที่ประมวลผลข้อมูลที่เป็นความลับ
1.2. การแบ่ง AS ออกเป็นคลาสที่เหมาะสมตามเงื่อนไขของการดำเนินงานจากมุมมองของการปกป้องข้อมูลมีความจำเป็นเพื่อพัฒนาและใช้มาตรการที่เหมาะสมเพื่อให้ได้ระดับการป้องกันข้อมูลที่ต้องการ
1.3. ความแตกต่างของแนวทางในการเลือกวิธีการและวิธีการป้องกันนั้นพิจารณาจากความสำคัญของข้อมูลที่กำลังประมวลผล ความแตกต่างในองค์ประกอบ โครงสร้าง วิธีการประมวลผลข้อมูล องค์ประกอบเชิงปริมาณและเชิงคุณภาพของผู้ใช้และเจ้าหน้าที่บำรุงรักษา
1.4. ขั้นตอนหลักของการจัดหมวดหมู่ AS คือ:
- การพัฒนาและวิเคราะห์ข้อมูลเบื้องต้น
- การระบุคุณสมบัติหลักของ AU ที่จำเป็นสำหรับการจำแนกประเภท
- การเปรียบเทียบสัญญาณที่ระบุของ AS กับสัญญาณที่จำแนก
- กำหนดระดับการป้องกันข้อมูลที่เหมาะสมจากการเข้าถึง AU โดยไม่ได้รับอนุญาต
1.5. ข้อมูลเริ่มต้นที่จำเป็นสำหรับการจำแนก AS เฉพาะคือ:
- รายการทรัพยากรข้อมูลที่ได้รับการคุ้มครองของ AU และระดับการรักษาความลับ
- รายชื่อบุคคลที่สามารถเข้าถึงสิ่งอำนวยความสะดวก NPP มาตรฐานซึ่งระบุระดับอำนาจหน้าที่ของตน
- เมทริกซ์ของการเข้าถึงหรืออำนาจของอาสาสมัครที่เกี่ยวข้องกับการเข้าถึงทรัพยากรข้อมูลที่ได้รับการคุ้มครองของ AS;
- โหมดการประมวลผลข้อมูลใน AS
1.6. ทางเลือกของคลาส AC นั้นทำโดยลูกค้าและผู้พัฒนาโดยมีส่วนร่วมของผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูล
1.7. ในบรรดาคุณสมบัติการกำหนดตามที่ AS ถูกจัดกลุ่มเป็นคลาสต่างๆ ได้แก่ :
- การปรากฏตัวใน AS ของข้อมูลในระดับต่างๆ ของการรักษาความลับ
- ระดับอำนาจหน้าที่ของอาสาสมัครในการเข้าถึงข้อมูลที่เป็นความลับ;
- โหมดการประมวลผลข้อมูลใน AU - แบบรวมหรือแบบบุคคล
1.8. มีการจัดตั้งการรักษาความปลอดภัย AS เก้าประเภทตั้งแต่ NSD ไปจนถึงข้อมูล
แต่ละชั้นมีลักษณะเฉพาะตามข้อกำหนดการป้องกันขั้นต่ำชุดหนึ่ง
ชั้นเรียนแบ่งออกเป็นสามกลุ่ม ซึ่งแตกต่างกันในคุณสมบัติของการประมวลผลข้อมูลใน AS
ภายในแต่ละกลุ่ม ลำดับชั้นของข้อกำหนดในการป้องกันนั้นขึ้นอยู่กับค่า (การรักษาความลับ) ของข้อมูล และลำดับชั้นของคลาสความปลอดภัย AS
1.9. กลุ่มที่สามรวมถึง AS ซึ่งผู้ใช้รายหนึ่งได้รับการยอมรับในข้อมูลทั้งหมดของ AS ซึ่งวางไว้บนสื่อที่มีการรักษาความลับในระดับเดียวกัน กลุ่มประกอบด้วยสองคลาส - 3B และ 3A
กลุ่มที่สองรวมถึง AS ซึ่งผู้ใช้มีสิทธิ์ในการเข้าถึง (หน่วยงาน) เดียวกันกับข้อมูล AS ทั้งหมดที่ประมวลผลและ (หรือ) ที่จัดเก็บไว้ในสื่อที่มีระดับการรักษาความลับต่างกัน กลุ่มประกอบด้วยสองคลาส - 2B และ 2A
กลุ่มแรกประกอบด้วย AS ที่มีผู้ใช้หลายคน ซึ่งประมวลผลและ (หรือ) จัดเก็บข้อมูลที่มีระดับความลับต่างกันไปพร้อม ๆ กัน ผู้ใช้บางรายอาจไม่มีสิทธิ์เข้าถึงข้อมูล AS ทั้งหมด กลุ่มประกอบด้วยห้าคลาส - 1D, 1G, 1C, 1B และ 1A
2. ข้อกำหนดสำหรับการปกป้องข้อมูลจากการเข้าถึงโดยไม่ได้รับอนุญาตสำหรับ AU
2.1. การปกป้องข้อมูลจากการเข้าถึงโดยไม่ได้รับอนุญาตถือเป็นส่วนสำคัญของปัญหาทั่วไปในการรับรองความปลอดภัยของข้อมูล มาตรการป้องกันข้อมูลจากการเข้าถึงโดยไม่ได้รับอนุญาต ควรดำเนินการร่วมกับมาตรการเพื่อ ความคุ้มครองพิเศษวิธีการหลักและเสริมของเทคโนโลยีคอมพิวเตอร์ วิธีการ และระบบสื่อสารจาก วิธีการทางเทคนิคหน่วยสืบราชการลับและการจารกรรมทางอุตสาหกรรม
2.2. ในกรณีทั่วไป ชุดเครื่องมือซอฟต์แวร์และฮาร์ดแวร์และโซลูชันสำหรับองค์กร (ขั้นตอน) สำหรับการปกป้องข้อมูลจาก UA จะถูกนำไปใช้ภายในกรอบงานของระบบป้องกันข้อมูลกับ UA (SIS UA) โดยประกอบด้วยระบบย่อยสี่ระบบตามเงื่อนไขต่อไปนี้:
- การควบคุมการเข้าถึง;
- การลงทะเบียนและการบัญชี
- การเข้ารหัส;
- รับรองความสมบูรณ์
2.3. ขึ้นอยู่กับคลาส NPP ภายในระบบย่อยเหล่านี้ ข้อกำหนดจะต้องดำเนินการตามย่อหน้า 2.4, 2.7 และ 2.10. ข้อกำหนดเหล่านี้มีรายละเอียดในย่อหน้า 2.5, 2.6, 2.8, 2.9 และ 2.11-2.15
2.4. ข้อกำหนดสำหรับผู้พูดของกลุ่มที่สาม
การกำหนด:
- "-" - ไม่มีข้อกำหนดสำหรับคลาสนี้
- "+" - มีข้อกำหนดสำหรับคลาสนี้
ระบบย่อยและข้อกำหนด |
||
1. ระบบย่อยการควบคุมการเข้าออก |
||
1.1. การระบุ การรับรองความถูกต้อง และการควบคุมการเข้าถึงของอาสาสมัคร: |
||
เข้าสู่ระบบ |
||
ไปยังขั้ว, คอมพิวเตอร์, โหนดเครือข่ายคอมพิวเตอร์, ช่องทางการสื่อสาร, อุปกรณ์คอมพิวเตอร์ภายนอก |
||
สู่โปรแกรม |
||
ไปยังวอลุ่ม ไดเร็กทอรี ไฟล์ เร็กคอร์ด ฟิลด์เร็กคอร์ด |
||
1.2. การจัดการการไหลของข้อมูล |
||
2. ระบบย่อยการลงทะเบียนและบัญชี |
||
2.1. การลงทะเบียนและการบัญชี: |
||
การเข้า (ออก) ของหัวข้อการเข้าถึงไปยัง (จาก) ระบบ (โหนดเครือข่าย) |
||
การออกเอกสารส่งออก (กราฟิก) ที่พิมพ์ออกมา |
||
การเปิดตัว (เสร็จสิ้น) โปรแกรมและกระบวนการ (งาน งาน) |
||
เข้าถึงโปรแกรมของหัวข้อการเข้าถึงไฟล์ที่ได้รับการป้องกัน รวมถึงการสร้างและการลบ การส่งผ่านสายและช่องทางการสื่อสาร |
||
เข้าถึงโปรแกรมของหัวข้อการเข้าถึงไปยังเทอร์มินัล, คอมพิวเตอร์, โหนดเครือข่ายคอมพิวเตอร์, ช่องทางการสื่อสาร, อุปกรณ์คอมพิวเตอร์ภายนอก, โปรแกรม, โวลุ่ม, ไดเร็กทอรี, ไฟล์, เรคคอร์ด, ฟิลด์ของเรคคอร์ด |
||
เปลี่ยนพลังของวิชาที่เข้าถึงได้ |
||
สร้างวัตถุการเข้าถึงที่ปลอดภัย |
||
2.2. การบัญชีสำหรับสื่อบันทึกข้อมูล |
||
2.3. การทำความสะอาด (zeroing, depersonalization) ของพื้นที่ว่างของ RAM คอมพิวเตอร์และไดรฟ์ภายนอก |
||
2.4. การส่งสัญญาณพยายามละเมิดการป้องกัน |
||
3. ระบบย่อยการเข้ารหัส |
||
3.1. การเข้ารหัสข้อมูลที่ละเอียดอ่อน |
||
3.2. การเข้ารหัสข้อมูลที่เป็นของหัวข้อการเข้าถึงต่างๆ (กลุ่มวิชา) โดยใช้คีย์ที่แตกต่างกัน |
||
3.3. การใช้เครื่องมือเข้ารหัส (รับรอง) ที่ได้รับการรับรอง |
||
4. ระบบย่อยความสมบูรณ์ |
||
4.1. รับรองความสมบูรณ์ของซอฟต์แวร์และข้อมูลที่ประมวลผล |
||
4.2. การป้องกันทางกายภาพของอุปกรณ์คอมพิวเตอร์และผู้ให้บริการข้อมูล |
||
4.3. การปรากฏตัวของผู้ดูแลระบบ (บริการ) ของการปกป้องข้อมูลในAS |
||
4.4. การทดสอบ SZI NSD . เป็นระยะ |
||
4.5. ความพร้อมของวิธีการกู้คืนระบบรักษาความปลอดภัยข้อมูลNSD |
||
4.6. การใช้อุปกรณ์ป้องกันที่ผ่านการรับรอง |
การปกป้องข้อมูลจากการเข้าถึงโดยไม่ได้รับอนุญาตถือเป็นส่วนสำคัญของปัญหาทั่วไปในการรับรองความปลอดภัยของข้อมูล มาตรการในการปกป้องข้อมูลจากการเข้าถึงโดยไม่ได้รับอนุญาตควรดำเนินการร่วมกับมาตรการสำหรับการป้องกันพิเศษของวิธีการหลักและเสริมของเทคโนโลยีคอมพิวเตอร์จาก PEMIN
โซลูชันซอฟต์แวร์และฮาร์ดแวร์ที่ซับซ้อนและองค์กร (ขั้นตอน) สำหรับการปกป้องข้อมูลจาก UA ถูกนำมาใช้ภายในกรอบงานของระบบป้องกันข้อมูลกับ UA (SZI UA) ซึ่งประกอบด้วยระบบย่อยสี่ระบบตามเงื่อนไข: การควบคุมการเข้าถึง การลงทะเบียนและการบัญชี การเข้ารหัส; ความซื่อสัตย์.
เจ้าของ (เจ้าของ) ข้อมูลที่เป็นความลับของ AS โดยมีส่วนร่วมของคณะกรรมการผู้เชี่ยวชาญและผู้มีส่วนได้ส่วนเสีย เลือกระดับการป้องกันที่ยอมรับได้ของ AS จากการเข้าถึงโดยไม่ได้รับอนุญาต (หากจำเป็น โดยมีส่วนร่วมของผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูล) โดยพิจารณาจาก เงื่อนไขและโหมดการทำงานของ AS และความน่าเชื่อถือที่จำเป็นของการปกป้องข้อมูล การจัดประเภทความปลอดภัย AS ที่เลือกถูกร่างขึ้นโดยการกระทำและได้รับการอนุมัติจากเจ้าของ (เจ้าของ) ของคอน
ข้อมูลที่เป็นความลับ AS.
ในบรรดาคุณสมบัติการกำหนดตามที่ AS ถูกจัดกลุ่มเป็นคลาสต่างๆ ได้แก่ :
การปรากฏตัวใน AS ของข้อมูลระดับต่างๆ ของการรักษาความลับ ระดับอำนาจหน้าที่ของอาสาสมัครในการเข้าถึงข้อมูลที่เป็นความลับ
โหมดการประมวลผลข้อมูลใน AS: แบบรวมหรือแบบบุคคล องค์ประกอบเฉพาะของระบบป้องกันข้อมูล NSD ถูกกำหนดตามระดับความปลอดภัยที่เลือกสำหรับ AU นี้ตามเอกสาร "ระบบอัตโนมัติ การป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต การจำแนกประเภทของระบบอัตโนมัติและข้อกำหนดสำหรับการปกป้องข้อมูล”
ขึ้นอยู่กับเงื่อนไขของ AS เฉพาะซึ่งกำหนดโดยระดับความปลอดภัยที่กำหนดไว้ของ AS เป็นหลักภายในกรอบของการควบคุมการเข้าถึง การลงทะเบียนและการบัญชี ความสมบูรณ์และระบบย่อยของระบบย่อยการเข้ารหัส ขอแนะนำให้ใช้ (ดำเนินการ) ฟังก์ชันต่อไปนี้ - ข้อกำหนด สำหรับชั้นเรียนที่เกี่ยวข้อง
ระบบย่อยการควบคุมการเข้าใช้ควรรวมถึงวิธีการระบุตัวตน การรับรองความถูกต้อง (การรับรองความถูกต้อง) และการควบคุมการเข้าถึงของผู้ใช้และโปรแกรมของพวกเขาไปยังทรัพยากรต่อไปนี้: ไปยังระบบ; ไปยังขั้ว;
ไปยังคอมพิวเตอร์ (PC), โหนดเครือข่ายคอมพิวเตอร์ (PC); สู่ช่องทางการสื่อสาร
ไปยังอุปกรณ์ภายนอกของคอมพิวเตอร์ (PC);
ไปยังโปรแกรมไปยังวอลุ่ม ไดเร็กทอรี ไฟล์ เร็กคอร์ด ฟิลด์ของเรคคอร์ด องค์ประกอบของการระบุตัวตน การรับรองความถูกต้อง และการควบคุมการเข้าถึงทรัพยากรจะถูกนำไปใช้หาก AS มีทรัพยากรที่ระบุและหากผู้ใช้บางคนไม่ได้รับอนุญาตให้เข้าถึง การควบคุมการเข้าถึงของอาสาสมัครในทรัพยากรที่ได้รับการคุ้มครองนั้นดำเนินการตามเมทริกซ์การเข้าถึง
นอกเหนือจากเครื่องมือควบคุมการเข้าถึงแล้ว ระบบย่อยนี้ควรมีการรักษาความลับของข้อมูลในหลายระดับด้วย เช่น การควบคุมการถ่ายโอนข้อมูลระหว่างทรัพยากรที่จัดตั้งขึ้นอย่างเคร่งครัด (ผู้ให้บริการ) โดยคำนึงถึงความพร้อมใช้งานของการอนุญาตสำหรับประเภทนี้ ของการแลกเปลี่ยน การไหลของข้อมูลถูกควบคุมโดยใช้ป้ายกำกับระดับความลับ ในเวลาเดียวกัน ระดับการรักษาความลับของวัตถุที่ได้รับการคุ้มครอง (ไดรฟ์) ต้องไม่ต่ำกว่าระดับการรักษาความลับของข้อมูลที่บันทึกไว้
ระบบย่อยการลงทะเบียนและการบัญชีควรรวมถึงวิธีการลงทะเบียนและการบัญชีสำหรับเหตุการณ์และ / หรือทรัพยากรต่อไปนี้:
เข้าสู่ระบบ/ออกจากระบบของผู้ใช้ไปยัง/จากระบบ (โหนดเครือข่าย); การออกสิ่งพิมพ์ (เอกสารแสดงผลกราฟิก;
เริ่ม/หยุดโปรแกรม n กระบวนการ (งาน งาน) โดยใช้ไฟล์ที่ได้รับการป้องกัน
การเข้าถึงโปรแกรมผู้ใช้ไปยังไฟล์ที่มีการป้องกัน รวมถึงการสร้างและการลบ การส่งผ่านสายและช่องทางการสื่อสาร
การเข้าถึงโปรแกรมผู้ใช้ไปยังเทอร์มินัล คอมพิวเตอร์ โหนดเครือข่ายคอมพิวเตอร์ ช่องทางการสื่อสารและสาย อุปกรณ์คอมพิวเตอร์ภายนอก โปรแกรม วอลุ่ม ไดเร็กทอรี การเปลี่ยนแปลงอำนาจของหัวข้อการเข้าถึง; สร้างวัตถุการเข้าถึงที่ปลอดภัย การบัญชีสำหรับผู้ให้บริการข้อมูล นอกจากนี้ ระบบย่อยนี้ควรรวมถึงวิธีการล้าง (zeroing, depersonalizing) พื้นที่ของ RAM คอมพิวเตอร์และไดรฟ์ภายนอกที่ใช้ในการประมวลผลและ/หรือจัดเก็บข้อมูลที่ได้รับการป้องกัน
ระบบย่อยการเข้ารหัสควรจัดให้มีการเข้ารหัสข้อมูลที่เป็นความลับที่บันทึกไว้ในผู้ให้บริการข้อมูลที่ใช้ร่วมกัน (ที่ใช้ร่วมกัน) โดยหัวข้อการเข้าถึงที่แตกต่างกัน เช่นเดียวกับผู้ให้บริการข้อมูลที่ถอดออกได้ (เทป ดิสก์ ฟลอปปีดิสก์ ไมโครคาสเซ็ต ฯลฯ) ของหน่วยความจำภายนอกระยะยาวสำหรับ การจัดเก็บนอกช่วงการทำงาน หัวข้อที่ได้รับอนุญาตในการเข้าถึง การเข้าถึงการดำเนินการเข้ารหัสและ/หรือคีย์การเข้ารหัสจะต้องควบคุมโดยระบบย่อยการควบคุมการเข้าถึง ในกรณีนี้ ต้องใช้วิธีการป้องกันการเข้ารหัสที่ผ่านการรับรอง การรับรองจะดำเนินการโดยศูนย์รับรองพิเศษหรือองค์กรเฉพาะทางที่ได้รับใบอนุญาตให้รับรองเครื่องมือรักษาความปลอดภัยแบบเข้ารหัสลับ
ระดับของการดำเนินการตามหน้าที่ของระบบรักษาความปลอดภัยข้อมูลของ NSD ควรรับรองความสมบูรณ์สำหรับโหมดการทำงานของ NPP ทุกรูปแบบ
ระบบย่อยเพื่อรับรองความสมบูรณ์ของระบบรักษาความปลอดภัยข้อมูล NSD เป็นสิ่งจำเป็นสำหรับระบบรักษาความปลอดภัยข้อมูลใดๆ และรวมถึงองค์กร ซอฟต์แวร์และฮาร์ดแวร์ ตลอดจนวิธีการและวิธีการอื่นๆ ที่ให้:
การป้องกันทางกายภาพของ ICT (อุปกรณ์และผู้ให้บริการข้อมูล) อาณาเขตและอาคารที่ J1C ตั้งอยู่โดยใช้อุปกรณ์รักษาความปลอดภัยทางเทคนิคและบุคลากรพิเศษ การควบคุมการเข้าออกอย่างเข้มงวด อุปกรณ์พิเศษของสถานที่ NPP
ความไม่พร้อมใช้งานของการควบคุมการเข้าถึง การบัญชี และการควบคุมโดยผู้ใช้เพื่อแก้ไข บล็อก หรือปิดใช้งาน
ควบคุมความสมบูรณ์ของ AS และซอฟต์แวร์รักษาความปลอดภัยข้อมูลสำหรับการเปลี่ยนแปลงที่ไม่ได้รับอนุญาต
การทดสอบฟังก์ชั่นของระบบรักษาความปลอดภัยข้อมูลของ NSD เป็นระยะและ / หรือแบบไดนามิกโดยใช้เครื่องมือซอฟต์แวร์พิเศษ
การปรากฏตัวของผู้ดูแลระบบ (บริการ) ของการปกป้องข้อมูลที่รับผิดชอบในการบำรุงรักษาการทำงานปกติและการควบคุมการทำงานของระบบรักษาความปลอดภัยข้อมูลของ NSD การฟื้นฟูระบบรักษาความปลอดภัยข้อมูลของ NSD ในกรณีที่เกิดความล้มเหลวและล้มเหลว
การใช้วิธีการและวิธีการป้องกันที่ผ่านการรับรอง (รับรอง) ซึ่งการรับรองจะดำเนินการโดยการรับรองพิเศษ
ศูนย์หรือองค์กรเฉพาะทางที่มีใบอนุญาตในการรับรองวิธีการป้องกัน NSD SZI สำหรับคลาสความปลอดภัยต่ำจะได้รับอนุญาตให้ทำการรับรองโดยองค์กร (เจ้าของ)
ต้องมีการควบคุมสภาพแวดล้อมซอฟต์แวร์ของเครื่องมือทั่วทั้งระบบและ SZI NSD ที่ยอมรับสำหรับการดำเนินงาน สำหรับ AS แต่ละรายการที่ประมวลผลข้อมูลที่เป็นความลับ ความสมบูรณ์ของสภาพแวดล้อมซอฟต์แวร์นั้นรับประกันโดยคุณภาพของการยอมรับซอฟต์แวร์ AS ที่ออกแบบมาเพื่อประมวลผลข้อมูลที่เป็นความลับ
การสร้างเครื่องมือรักษาความปลอดภัยข้อมูลที่ตรงตามข้อกำหนดที่ระบุไว้ในทางปฏิบัตินั้นดำเนินการภายในฮาร์ดแวร์และโปรแกรมควบคุมของระบบปฏิบัติการคอมพิวเตอร์ (PC) รวมถึงเครื่องมือซอฟต์แวร์ที่ขยายขีดความสามารถของระบบปฏิบัติการหากใช้งาน
เพิ่มเติมในหัวข้อ 8.2 ข้อกำหนดสำหรับระบบการปกป้องข้อมูลจากการเข้าถึงโดยไม่ได้รับอนุญาต:
- 8.3. ข้อกำหนดสำหรับระบบป้องกันข้อมูลจากการสกัดกั้นของรังสีแม่เหล็กไฟฟ้าและรถปิคอัพ (PEMIN)
- 6.1. โครงสร้างระบบการขออนุญาตเข้าถึงข้อมูลที่เป็นความลับทางการค้าขององค์กร
- 3.3. รูปแบบของภัยคุกคามต่อระบบป้องกันข้อมูลของเว็บไซต์ของทางการสหพันธรัฐรัสเซีย
- 8. การปกป้องข้อมูลที่มีความลับทางการค้าระหว่างการประมวลผลและการจัดเก็บในระบบอัตโนมัติ
- แอปพลิเคชัน. รูปแบบของภัยคุกคามที่เป็นไปได้ต่อระบบป้องกันข้อมูลของเว็บไซต์ของหน่วยงาน
- การดำเนินการของการศึกษาดังกล่าวมีเงื่อนไขควบคู่ไปกับการวิเคราะห์ประเด็นอื่น ๆ โดยความจำเป็นในการรับรองความปลอดภัยของแหล่งข้อมูลตลอดจนภัยคุกคามที่เพิ่มขึ้นต่อความมั่นคงของชาติของสหพันธรัฐรัสเซียในด้านข้อมูลอันเนื่องมาจาก การเข้าถึงแหล่งข้อมูลโดยไม่ได้รับอนุญาต และขัดขวางการทำงานปกติของระบบสารสนเทศและโทรคมนาคม ในเรื่องนี้การวิเคราะห์ประสิทธิภาพของระบบรักษาความปลอดภัยข้อมูลของเว็บไซต์ของหน่วยงานกลายเป็นขั้นตอนบังคับในการสร้าง
มาตรฐาน ISO 15408 ที่อธิบายเกณฑ์สำหรับการประเมินความปลอดภัยเป็นขั้นตอนใหม่ในการดำเนินการตามกรอบการกำกับดูแลสำหรับการประเมินความปลอดภัยด้านไอที ตามมาตรฐานนี้ แต่ละรัฐได้ปรับให้เข้ากับความเป็นจริงและแนวโน้มของตนเอง
คลาสความปลอดภัยสำหรับอุปกรณ์คอมพิวเตอร์
ตาม เอกสารกฎเกณฑ์«หมายถึงเทคโนโลยีคอมพิวเตอร์ การป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต ตัวบ่งชี้ความปลอดภัยจากการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต "สามารถแยกแยะได้ เจ็ดเกรดความปลอดภัยของสิ่งอำนวยความสะดวกคอมพิวเตอร์ (SVT) จากข้อมูล ระดับสูงสุดคืออันดับหนึ่ง ต่ำสุดคืออันดับที่เจ็ด คลาสแบ่งออกเป็น 4 กลุ่มที่แตกต่างกันในระดับคุณภาพของความปลอดภัย:
- กลุ่มที่สี่มีลักษณะการป้องกันที่ผ่านการตรวจสอบและมีเพียงชั้นหนึ่งเท่านั้น
- กลุ่มที่สามมีลักษณะการป้องกันที่บังคับและมีคลาส 4,3 และ2
- กลุ่มที่สองมีลักษณะการคุ้มครองตามดุลยพินิจและมีเกรด 6 และ 5
- กลุ่มแรกมีแค่ชั้น ป.7
ขึ้นอยู่กับการจัดประเภทความปลอดภัยของข้อมูลในระบบ AS ตำแหน่งของอ็อบเจ็กต์และเงื่อนไขการใช้งาน คลาสความปลอดภัยบางอย่างจะถูกเลือก ตารางที่ 1 แสดงรายการตัวบ่งชี้ตามคลาสความปลอดภัย CBT การกำหนด:
- » — «: ไม่มีข้อกำหนดคลาส
- » + «: ข้อกำหนดใหม่หรือเพิ่มเติม
- » = «: ข้อกำหนดเหมือนกับข้อกำหนดของคลาสก่อนหน้า
ตารางที่ 1
ชื่อของตัวบ่งชี้ | 6 | 5 | 4 | 3 | 2 | 1 |
---|---|---|---|---|---|---|
หลักการควบคุมการเข้าถึงตามดุลยพินิจ | + | + | + | = | + | = |
หลักการบังคับของการควบคุมการเข้าถึง | — | — | + | = | = | = |
ล้างหน่วยความจำ | — | + | + | + | = | = |
การแยกโมดูล | — | — | + | = | + | = |
เครื่องหมายเอกสาร | — | — | + | = | = | = |
การป้องกันอินพุตและเอาต์พุตไปยังสื่อทางกายภาพที่แปลกแยกได้ | — | — | + | = | = | = |
การเชื่อมโยงผู้ใช้กับอุปกรณ์ | — | — | + | = | = | = |
การระบุและรับรองความถูกต้อง | + | = | + | = | = | = |
การประกันการออกแบบ | — | + | + | + | + | + |
การลงทะเบียน | — | + | + | + | = | = |
การโต้ตอบของผู้ใช้กับ CSP | — | — | — | + | = | = |
การกู้คืนที่เชื่อถือได้ | — | — | — | + | = | = |
ความซื่อสัตย์ของ KSZ | — | + | + | + | = | = |
การควบคุมการดัดแปลง | — | — | — | — | + | = |
การควบคุมการกระจาย | — | — | — | — | + | = |
การรับประกันสถาปัตยกรรม | — | — | — | — | — | + |
การทดสอบ | + | + | + | + | + | = |
คู่มือผู้ใช้ | + | = | = | = | = | = |
คู่มือ QPS | + | + | = | + | + | = |
เอกสารการทดสอบ | + | + | + | + | + | = |
เอกสารการออกแบบ (โครงการ) | + | + | + | + | + | + |
ชุดข้อกำหนดด้านประสิทธิภาพที่ระบุสำหรับแต่ละคลาสคือ จำเป็นน้อยที่สุด. ชั้นประถมศึกษาปีที่เจ็ดมอบหมายให้กับ SVT เหล่านั้นซึ่งข้อกำหนดในการปกป้องข้อมูลจากการเข้าถึงโดยไม่ได้รับอนุญาตนั้นต่ำกว่าระดับของเกรดหก
คลาสความปลอดภัยสำหรับระบบอัตโนมัติ
ระบบอัตโนมัติ
ฐานเชิงบรรทัดฐานคือเอกสาร «ระบบอัตโนมัติ การป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต การจำแนกประเภทของระบบอัตโนมัติและข้อกำหนดสำหรับการปกป้องข้อมูล การจำแนกประเภทของระบบอัตโนมัติและข้อกำหนดสำหรับการปกป้องข้อมูล ". ความแตกต่างของแนวทางในการกำหนดวิธีการและวิธีการป้องกันขึ้นอยู่กับข้อมูลที่กำลังประมวลผล องค์ประกอบของ AS โครงสร้างของ AS องค์ประกอบเชิงคุณภาพและเชิงปริมาณของผู้ใช้และเจ้าหน้าที่บำรุงรักษา หลัก ขั้นตอนของการจำแนก ASเป็น:
- การสร้างและวิเคราะห์ข้อมูลเบื้องต้น
- ค้นหาคุณสมบัติหลักของ AS ที่จำเป็นสำหรับการจำแนกประเภท
- การวิเคราะห์คุณสมบัติที่ระบุ
- กำหนดระดับการป้องกันบางอย่างให้กับผู้พูด
พารามิเตอร์หลักสำหรับกำหนดคลาสความปลอดภัย AS ได้แก่:
- ระดับการรักษาความลับของข้อมูลใน AS
- ระดับอำนาจของอาสาสมัครในการเข้าถึงข้อมูลที่เป็นความลับ
- โหมดการประมวลผลข้อมูลใน AS (ส่วนรวมหรือส่วนบุคคล)
จัดสรร เก้าชั้นเรียนความปลอดภัยของ AS จากการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต แต่ละชั้นมีข้อกำหนดการป้องกันขั้นต่ำ คลาสสามารถแบ่งออกเป็น 3 กลุ่ม แต่ละกลุ่มมีลำดับชั้นของตนเอง
- กลุ่มที่สาม - กำหนดงานของผู้ใช้รายหนึ่งที่ยอมรับข้อมูลทั้งหมดของ AS ซึ่งวางไว้บนสื่อที่มีการรักษาความลับในระดับเดียวกัน กลุ่มมีสองคลาส - 3B และ 3A
- กลุ่มที่สอง - กำหนดงานของผู้ใช้ที่มีสิทธิ์เข้าถึงข้อมูล AS ทั้งหมดที่จัดเก็บและ (หรือ) ประมวลผลบนสื่อที่มีระดับการรักษาความลับต่างกัน กลุ่มมีสองคลาส - 2B และ 2A
- กลุ่มแรก - กำหนดผู้ใช้หลายคน AS ซึ่งข้อมูลของระดับการรักษาความลับที่แตกต่างกันจะถูกจัดเก็บและ (หรือ) ประมวลผลในเวลาเดียวกันและผู้ใช้บางคนไม่สามารถเข้าถึงได้ กลุ่มมี 5 คลาส 0 1D, 1G, 1C, 1B, 1A
ข้อกำหนดสำหรับ AU ในการปกป้องข้อมูลจากการเข้าถึงโดยไม่ได้รับอนุญาต
มาตรการในการปกป้องข้อมูลจากการเข้าถึงโดยไม่ได้รับอนุญาตควรดำเนินการร่วมกับมาตรการสำหรับการป้องกันพิเศษของอุปกรณ์คอมพิวเตอร์ (SVT) และระบบการสื่อสารจากวิธีการทางเทคนิคของข่าวกรองและอุตสาหกรรม
การกำหนดสำหรับตาราง:
- '-': ไม่มีข้อกำหนดสำหรับคลาสปัจจุบัน
- "+": มีข้อกำหนดสำหรับคลาสปัจจุบัน
ตารางที่ 2 - ข้อกำหนดสำหรับผู้พูด
ระบบย่อยและข้อกำหนด | กลุ่ม 3 | กลุ่ม 2 | กลุ่ม 1 | ||||||
---|---|---|---|---|---|---|---|---|---|
3B | 3A | 2B | 2A | 1D | 1G | 1B | 1B | 1A | |
1. ระบบย่อยการควบคุมการเข้าออก | |||||||||
1.1. การระบุ การรับรองความถูกต้อง และการควบคุมการเข้าถึงของอาสาสมัคร: | |||||||||
เข้าสู่ระบบ | + | + | + | + | + | + | + | + | + |
ไปยังขั้ว, คอมพิวเตอร์, โหนดเครือข่ายคอมพิวเตอร์, ช่องทางการสื่อสาร, อุปกรณ์คอมพิวเตอร์ภายนอก | — | — | — | + | — | + | + | + | + |
สู่โปรแกรม | — | — | — | + | — | + | + | + | + |
ไปยังวอลุ่ม ไดเร็กทอรี ไฟล์ เร็กคอร์ด ฟิลด์เร็กคอร์ด | — | — | — | + | — | + | + | + | + |
การจัดการการไหลของข้อมูล | — | + | — | — | + | + | + | ||
2. ระบบย่อยการลงทะเบียนและบัญชี | |||||||||
2.1. การลงทะเบียนและการบัญชี: | |||||||||
การเข้า (ออก) ของหัวข้อการเข้าถึงไปยัง (จาก) ระบบ (โหนดเครือข่าย) | + | + | + | + | + | + | + | + | + |
การออกเอกสารส่งออก (กราฟิก) ที่พิมพ์ออกมา | — | + | — | + | — | + | + | + | + |
การเปิดตัว (เสร็จสิ้น) โปรแกรมและกระบวนการ (งาน งาน) | — | — | — | + | — | + | + | + | + |
เข้าถึงโปรแกรมของหัวข้อการเข้าถึงไฟล์ที่ได้รับการป้องกัน รวมถึงการสร้างและการลบ การส่งผ่านสายและช่องทางการสื่อสาร | — | — | — | + | — | + | + | + | + |
เข้าถึงโปรแกรมของหัวข้อการเข้าถึงไปยังเทอร์มินัล, คอมพิวเตอร์, โหนดเครือข่ายคอมพิวเตอร์, ช่องทางการสื่อสาร, อุปกรณ์คอมพิวเตอร์ภายนอก, โปรแกรม, โวลุ่ม, ไดเร็กทอรี, ไฟล์, เรคคอร์ด, ฟิลด์ของเรคคอร์ด | — | — | — | + | — | + | + | + | + |
เปลี่ยนพลังของวิชาที่เข้าถึงได้ | — | — | — | — | — | — | + | + | + |
สร้างวัตถุการเข้าถึงที่ปลอดภัย | — | — | — | + | — | — | + | + | + |
2.2. การบัญชีสำหรับสื่อบันทึกข้อมูล | + | + | + | + | + | + | + | + | + |
2.3. การทำความสะอาด (zeroing, depersonalization) ของพื้นที่ว่างของ RAM คอมพิวเตอร์และไดรฟ์ภายนอก | — | + | — | + | — | + | + | + | + |
2.4. การส่งสัญญาณพยายามละเมิดการป้องกัน | — | — | — | — | — | — | + | + | + |
3. ระบบย่อยการเข้ารหัส | |||||||||
3.1. การเข้ารหัสข้อมูลที่ละเอียดอ่อน | — | — | — | + | — | — | — | + | + |
3.2. การเข้ารหัสข้อมูลที่เป็นของหัวข้อการเข้าถึงต่างๆ (กลุ่มวิชา) โดยใช้คีย์ที่แตกต่างกัน | — | — | — | — | — | — | — | — | + |
3.3. การใช้เครื่องมือเข้ารหัส (รับรอง) ที่ได้รับการรับรอง | — | — | — | + | — | — | — | + | + |
4. ระบบย่อยความสมบูรณ์ | |||||||||
4.1. รับรองความสมบูรณ์ของซอฟต์แวร์และข้อมูลที่ประมวลผล | + | + | + | + | + | + | + | + | + |
4.2. การป้องกันทางกายภาพของอุปกรณ์คอมพิวเตอร์และผู้ให้บริการข้อมูล | + | + | + | + | + | + | + | + | + |
4.3. การปรากฏตัวของผู้ดูแลระบบ (บริการ) ของการปกป้องข้อมูลในAS | — | — | — | + | — | — | + | + | + |
4.4. การทดสอบ SZI NSD . เป็นระยะ | + | + | + | + | + | + | + | + | + |
4.5. ความพร้อมของวิธีการกู้คืนระบบรักษาความปลอดภัยข้อมูลNSD | + | + | + | + | + | + | + | + | + |
4.6. การใช้อุปกรณ์ป้องกันที่ผ่านการรับรอง | — | + | — | + | — | — | + | + | + |
ขนาดตัวอักษร
เอกสารแนะนำระบบอัตโนมัติ - การป้องกันการเข้าถึงการจำแนกข้อมูลโดยไม่ได้รับอนุญาต... เกิดขึ้นจริงในปี 2560
2. ข้อกำหนดสำหรับการปกป้องข้อมูลจากการเข้าถึงโดยไม่ได้รับอนุญาตสำหรับ AU
2.1. การปกป้องข้อมูลจากการเข้าถึงโดยไม่ได้รับอนุญาตถือเป็นส่วนสำคัญของปัญหาทั่วไปในการรับรองความปลอดภัยของข้อมูล มาตรการในการปกป้องข้อมูลจากการเข้าถึงโดยไม่ได้รับอนุญาตควรดำเนินการร่วมกับมาตรการในการปกป้องวิธีการหลักและวิธีการเสริมของเทคโนโลยีคอมพิวเตอร์ วิธีการ และระบบการสื่อสารจากวิธีการทางเทคนิคของข่าวกรองและการจารกรรมทางอุตสาหกรรม
2.2. ในกรณีทั่วไป ชุดเครื่องมือซอฟต์แวร์และฮาร์ดแวร์และโซลูชันสำหรับองค์กร (ขั้นตอน) สำหรับการปกป้องข้อมูลจาก UA จะถูกนำไปใช้ภายในกรอบงานของระบบป้องกันข้อมูลกับ UA (SIS UA) โดยประกอบด้วยระบบย่อยสี่ระบบตามเงื่อนไขต่อไปนี้:
การควบคุมการเข้าถึง;
การลงทะเบียนและการบัญชี
การเข้ารหัส;
รับรองความถูกต้อง
2.3. ขึ้นอยู่กับคลาส NPP ภายในระบบย่อยเหล่านี้ ข้อกำหนดจะต้องดำเนินการตามย่อหน้า 2.4, 2.7 และ 2.10. ข้อกำหนดเหล่านี้มีรายละเอียดในย่อหน้า 2.5, 2.6, 2.8, 2.9 และ 2.11-2.15
2.4. ข้อกำหนดสำหรับผู้พูดของกลุ่มที่สาม
การกำหนด:
ระบบย่อยและข้อกำหนด | ชั้นเรียน | |
3B | 3A | |
เข้าสู่ระบบ | + | + |
- | - | |
สู่โปรแกรม | - | - |
- | - | |
2.1. การลงทะเบียนและการบัญชี: | ||
การเข้า (ออก) ของหัวข้อการเข้าถึงไปยัง (จาก) ระบบ (โหนดเครือข่าย) | + | + |
- | + | |
- | - | |
- | - | |
- | - | |
- | - | |
- | - | |
+ | + | |
- | + | |
- | - | |
- | - | |
- | - | |
- | - | |
+ | + | |
+ | + | |
- | - | |
+ | + | |
+ | + | |
- | + |
การระบุและการตรวจสอบสิทธิ์ของหัวเรื่องการเข้าถึงควรทำเมื่อเข้าสู่ระบบโดยใช้รหัสผ่านกึ่งถาวร ซึ่งมีความยาวอย่างน้อยหกอักขระที่เป็นตัวอักษรและตัวเลขคละกัน
สื่อที่ได้รับการคุ้มครองทั้งหมดควรได้รับการพิจารณาด้วยความช่วยเหลือของการทำเครื่องหมายและการป้อนข้อมูลประจำตัวในวารสาร (บัตรลงทะเบียน)
โดยที่:
2.6. ข้อกำหนดสำหรับการรักษาความปลอดภัยระดับ 3A:
ระบบย่อยการควบคุมการเข้าถึง:
หัวข้อการเข้าถึงควรได้รับการระบุและรับรองความถูกต้องเมื่อเข้าสู่ระบบโดยใช้รหัสผ่านกึ่งถาวรที่มีความยาวอย่างน้อยหกตัวอักษรและตัวเลข
ระบบย่อยของการลงทะเบียนและการบัญชี:
วันที่และเวลาที่เข้า (ออก) ของเรื่องการเข้าถึงระบบ (จากระบบ) หรือการโหลด (หยุด) ของระบบ
ควรทำบัญชีหลายประเภท (ซ้ำกัน) ด้วยการลงทะเบียนการออก (แผนกต้อนรับ) ของผู้ให้ข้อมูล
ระบบย่อยความซื่อสัตย์:
ความสมบูรณ์ของเครื่องมือซอฟต์แวร์ของเครื่องมือรักษาความปลอดภัยข้อมูลของ NSD ข้อมูลที่ประมวลผล ตลอดจนความไม่เปลี่ยนรูปของสภาพแวดล้อมซอฟต์แวร์ โดยที่:
ความสมบูรณ์ของระบบข้อมูลความปลอดภัยของข้อมูลของ NSD จะถูกตรวจสอบเมื่อระบบถูกโหลดโดยการปรากฏตัวของชื่อ (ตัวระบุ) ของส่วนประกอบระบบป้องกันข้อมูล
ความสมบูรณ์ของสภาพแวดล้อมซอฟต์แวร์ทำให้มั่นใจได้โดยขาดเครื่องมือสำหรับการพัฒนาและการดีบักโปรแกรมใน AS
การทดสอบการทำงานของระบบรักษาความปลอดภัยข้อมูลของ NSD เป็นระยะควรดำเนินการเมื่อสภาพแวดล้อมซอฟต์แวร์และบุคลากรของ NPP เปลี่ยนแปลงโดยใช้โปรแกรมทดสอบที่จำลองความพยายามของ NSD
2.7. ข้อกำหนดสำหรับผู้พูดของกลุ่มที่สอง
การกำหนด:
"-" - ไม่มีข้อกำหนดสำหรับคลาสนี้
"+" - มีข้อกำหนดสำหรับคลาสนี้
ระบบย่อยและข้อกำหนด | ชั้นเรียน | |
2B | 2A | |
1. ระบบย่อยการควบคุมการเข้าออก | ||
1.1. การระบุ การรับรองความถูกต้อง และการควบคุมการเข้าถึงของอาสาสมัคร: | ||
เข้าสู่ระบบ | + | + |
ไปยังขั้ว, คอมพิวเตอร์, โหนดเครือข่ายคอมพิวเตอร์, ช่องทางการสื่อสาร, อุปกรณ์คอมพิวเตอร์ภายนอก | - | + |
สู่โปรแกรม | - | + |
ไปยังวอลุ่ม ไดเร็กทอรี ไฟล์ เร็กคอร์ด ฟิลด์เร็กคอร์ด | - | + |
1.2. การจัดการการไหลของข้อมูล | - | + |
2. ระบบย่อยการลงทะเบียนและบัญชี | ||
2.1. การลงทะเบียนและการบัญชี: | ||
+ | + | |
การออกเอกสารส่งออก (กราฟิก) ที่พิมพ์ออกมา | - | + |
การเปิดตัว (เสร็จสิ้น) โปรแกรมและกระบวนการ (งาน งาน) | - | + |
เข้าถึงโปรแกรมของหัวข้อการเข้าถึงไฟล์ที่ได้รับการป้องกัน รวมถึงการสร้างและการลบ การส่งผ่านสายและช่องทางการสื่อสาร | - | + |
เข้าถึงโปรแกรมของหัวข้อการเข้าถึงไปยังเทอร์มินัล, คอมพิวเตอร์, โหนดเครือข่ายคอมพิวเตอร์, ช่องทางการสื่อสาร, อุปกรณ์คอมพิวเตอร์ภายนอก, โปรแกรม, โวลุ่ม, ไดเร็กทอรี, ไฟล์, เรคคอร์ด, ฟิลด์ของเรคคอร์ด | - | + |
เปลี่ยนพลังของวิชาที่เข้าถึงได้ | - | - |
สร้างวัตถุการเข้าถึงที่ปลอดภัย | - | + |
2.2. การบัญชีสำหรับสื่อบันทึกข้อมูล | + | + |
2.3. การทำความสะอาด (zeroing, depersonalization) ของพื้นที่ว่างของ RAM คอมพิวเตอร์และไดรฟ์ภายนอก | - | + |
2.4. การส่งสัญญาณพยายามละเมิดการป้องกัน | - | - |
3. ระบบย่อยการเข้ารหัส | ||
3.1. การเข้ารหัสข้อมูลที่ละเอียดอ่อน | - | + |
3.2. การเข้ารหัสข้อมูลที่เป็นของหัวข้อการเข้าถึงต่างๆ (กลุ่มวิชา) โดยใช้คีย์ที่แตกต่างกัน | - | - |
3.3. การใช้เครื่องมือเข้ารหัส (รับรอง) ที่ได้รับการรับรอง | - | + |
4. ระบบย่อยความสมบูรณ์ | ||
4.1. รับรองความสมบูรณ์ของซอฟต์แวร์และข้อมูลที่ประมวลผล | + | + |
4.2. การป้องกันทางกายภาพของอุปกรณ์คอมพิวเตอร์และผู้ให้บริการข้อมูล | + | + |
4.3. การปรากฏตัวของผู้ดูแลระบบ (บริการ) ของการปกป้องข้อมูลในAS | - | + |
4.4. การทดสอบ SZI NSD . เป็นระยะ | + | + |
4.5. ความพร้อมของวิธีการกู้คืนระบบรักษาความปลอดภัยข้อมูลNSD | + | + |
4.6. การใช้อุปกรณ์ป้องกันที่ผ่านการรับรอง | - | + |
ระบบย่อยการควบคุมการเข้าถึง:
การระบุและการตรวจสอบสิทธิ์ของหัวเรื่องการเข้าถึงควรทำเมื่อเข้าสู่ระบบโดยใช้ตัวระบุ (รหัส) และรหัสผ่านถาวรแบบมีเงื่อนไขอย่างน้อยหกตัวอักษรและตัวเลข
ระบบย่อยของการลงทะเบียนและการบัญชี:
การลงทะเบียนการเข้า (ออก) ของวิชาการเข้าถึงระบบ (จากระบบ) หรือการลงทะเบียนการโหลดและการเริ่มต้น ระบบปฏิบัติการและการปิดซอฟต์แวร์ การลงทะเบียนออกจากระบบหรือการปิดระบบไม่ได้ดำเนินการในขณะที่ปิดฮาร์ดแวร์ของ AU
ตัวเลือกการลงทะเบียนรวมถึง:
วันที่และเวลาที่เข้า (ออก) ของเรื่องการเข้าถึงระบบ (จากระบบ) หรือการโหลด (หยุด) ของระบบ
ผลลัพธ์ของการพยายามเข้าสู่ระบบ: สำเร็จหรือไม่สำเร็จ (ด้วย NSD);
สื่อที่ได้รับการคุ้มครองทั้งหมดควรได้รับการพิจารณาโดยการทำเครื่องหมายและป้อนข้อมูลประจำตัวในวารสาร (บัตรลงทะเบียน)
ระบบย่อยความซื่อสัตย์:
ความสมบูรณ์ของเครื่องมือซอฟต์แวร์ของเครื่องมือรักษาความปลอดภัยข้อมูลของ NSD ข้อมูลที่ประมวลผล ตลอดจนความไม่เปลี่ยนรูปของสภาพแวดล้อมซอฟต์แวร์
โดยที่:
ความสมบูรณ์ของระบบข้อมูลความปลอดภัยของข้อมูลของ NSD จะถูกตรวจสอบเมื่อระบบถูกโหลดโดยการปรากฏตัวของชื่อ (ตัวระบุ) ของส่วนประกอบระบบป้องกันข้อมูล
ความสมบูรณ์ของสภาพแวดล้อมซอฟต์แวร์ทำให้มั่นใจได้โดยไม่มี AS ของเครื่องมือสำหรับการพัฒนาและการดีบักโปรแกรมในระหว่างการประมวลผลและ (หรือ) การจัดเก็บข้อมูลที่ได้รับการป้องกัน
ควรดำเนินการรักษาความปลอดภัยทางกายภาพของ SVT (อุปกรณ์และสื่อเก็บข้อมูล) ซึ่งให้การควบคุมการเข้าถึงสถานที่ NPP โดยบุคคลที่ไม่ได้รับอนุญาตการปรากฏตัวของอุปสรรคที่เชื่อถือได้ในการเข้าสู่สถานที่ NPP โดยไม่ได้รับอนุญาตและการจัดเก็บสื่อข้อมูล โดยเฉพาะอย่างยิ่งในช่วงนอกเวลาทำการ
ควรมีวิธีการในการกู้คืนระบบป้องกันข้อมูลของ NSD โดยจัดให้มีการบำรุงรักษาซอฟต์แวร์สองชุดของระบบป้องกันข้อมูลของ NSD และการอัปเดตเป็นระยะและการตรวจสอบประสิทธิภาพ
2.9. ข้อกำหนดสำหรับการรักษาความปลอดภัยระดับ 2A
ระบบย่อยการควบคุมการเข้าถึง:
เทอร์มินัล คอมพิวเตอร์ โหนดเครือข่ายคอมพิวเตอร์ ช่องทางการสื่อสาร อุปกรณ์คอมพิวเตอร์ภายนอก ควรระบุที่อยู่เชิงตรรกะ (ตัวเลข)
ควรควบคุมการไหลของข้อมูลโดยใช้ป้ายกำกับระดับความลับ ในเวลาเดียวกัน ระดับการรักษาความลับของไดรฟ์ต้องไม่ต่ำกว่าระดับการรักษาความลับของข้อมูลที่บันทึกไว้
ระบบย่อยของการลงทะเบียนและการบัญชี:
การลงทะเบียนการเข้า (ออก) ของหัวข้อการเข้าถึงระบบ (จากระบบ) หรือการลงทะเบียนการโหลดและการเริ่มต้นระบบปฏิบัติการและการปิดซอฟต์แวร์ควรดำเนินการ การลงทะเบียนออกจากระบบหรือการปิดระบบไม่ได้ดำเนินการในขณะที่ปิดฮาร์ดแวร์ของ AU ตัวเลือกการลงทะเบียนรวมถึง:
วันที่และเวลาที่เข้า (ออก) ของเรื่องการเข้าถึงระบบ (จากระบบ) หรือการโหลด (หยุด) ของระบบ
ผลลัพธ์ของการพยายามเข้าสู่ระบบ: สำเร็จหรือไม่สำเร็จ (ด้วย NSD);
การลงทะเบียนการออกเอกสารที่พิมพ์ (กราฟิก) สำหรับสำเนา "ยาก" ควรดำเนินการ การออกควรมาพร้อมกับการทำเครื่องหมายอัตโนมัติของแต่ละแผ่น (หน้า) ของเอกสาร หมายเลขซีเรียลและรายละเอียดการบัญชีของ AS โดยระบุจำนวนแผ่น (หน้า) ในแผ่นสุดท้ายของเอกสาร ตัวเลือกการลงทะเบียนรวมถึง:
วันที่และเวลาที่ออก (อ้างอิงถึงระบบย่อยเอาต์พุต);
ข้อมูลจำเพาะของอุปกรณ์ออก [ชื่อตรรกะ (หมายเลข) ของอุปกรณ์ภายนอก] เนื้อหาโดยย่อ (ชื่อ ประเภท รหัส รหัส) และระดับการรักษาความลับของเอกสาร
วันที่และเวลาที่เปิดตัว;
ตัวเลือกการลงทะเบียนรวมถึง:
วันที่และเวลาที่พยายามเข้าถึงไฟล์ที่ได้รับการป้องกันซึ่งระบุผลลัพธ์: สำเร็จ, ไม่สำเร็จ - ไม่ได้รับอนุญาต,
ตัวเลือกการลงทะเบียนรวมถึง:
เข้าถึงตัวระบุหัวเรื่อง;
สื่อที่ได้รับการคุ้มครองทั้งหมดควรได้รับการพิจารณาโดยการทำเครื่องหมายและป้อนข้อมูลประจำตัวในวารสาร (บัตรลงทะเบียน)
ควรทำความสะอาด (zeroing, depersonalization) ของพื้นที่ว่างของ RAM คอมพิวเตอร์และไดรฟ์ภายนอก การล้างจะดำเนินการโดยการเขียนแบบสุ่มสองครั้งไปยังพื้นที่หน่วยความจำที่ว่าง ซึ่งก่อนหน้านี้ใช้เพื่อจัดเก็บข้อมูลที่มีการป้องกัน (ไฟล์)
ระบบย่อยการเข้ารหัส:
การเข้ารหัสข้อมูลที่เป็นความลับทั้งหมดที่บันทึกไว้ในผู้ให้บริการข้อมูลที่ใช้ร่วมกัน (ที่ใช้ร่วมกัน) โดยหัวข้อการเข้าถึงที่แตกต่างกัน ในช่องทางการสื่อสาร เช่นเดียวกับผู้ให้บริการข้อมูลที่ถอดออกได้ (ฟลอปปีดิสก์ ไมโครคาสเซ็ต ฯลฯ) ของหน่วยความจำภายนอกระยะยาวสำหรับการจัดเก็บนอกเซสชันการทำงานที่ได้รับอนุญาต ควรจะดำเนินการ หัวข้อการเข้าถึง ในกรณีนี้ ควรดำเนินการปล่อยและล้างพื้นที่หน่วยความจำภายนอกโดยอัตโนมัติซึ่งมีข้อมูลที่ไม่ได้เข้ารหัสไว้ก่อนหน้านี้
การเข้าถึงการดำเนินการเข้ารหัสและคีย์การเข้ารหัสของหัวเรื่องต้องถูกควบคุมเพิ่มเติมโดยระบบย่อยการควบคุมการเข้าถึง
ระบบย่อยความซื่อสัตย์:
ความสมบูรณ์ของเครื่องมือซอฟต์แวร์ของระบบรักษาความปลอดภัยข้อมูลของ NSD ข้อมูลที่กำลังดำเนินการ ตลอดจนความไม่เปลี่ยนรูปของสภาพแวดล้อมซอฟต์แวร์
โดยที่:
ความสมบูรณ์ของระบบข้อมูลความปลอดภัยของข้อมูลของ NSD จะถูกตรวจสอบเมื่อระบบถูกโหลดโดยการปรากฏตัวของชื่อ (ตัวระบุ) ของส่วนประกอบระบบป้องกันข้อมูล
ความสมบูรณ์ของสภาพแวดล้อมซอฟต์แวร์ทำให้มั่นใจได้โดยขาดเครื่องมือสำหรับการพัฒนาและการดีบักโปรแกรมใน AS
ควรมีการป้องกันทางกายภาพของ ICT (อุปกรณ์และผู้ให้บริการข้อมูล) เพื่อให้มีการป้องกันอาณาเขตและอาคารที่ NPP ตั้งอยู่อย่างต่อเนื่องโดยใช้อุปกรณ์รักษาความปลอดภัยทางเทคนิคและบุคลากรพิเศษ การควบคุมการเข้าออกอย่างเข้มงวด, อุปกรณ์พิเศษของสถานที่ NPP;
ควรมีผู้ดูแลระบบรักษาความปลอดภัยข้อมูล (บริการ) ที่รับผิดชอบในการบำรุงรักษา การทำงานปกติ และการควบคุมการทำงานของระบบป้องกันข้อมูล NSD
การทดสอบการทำงานของระบบรักษาความปลอดภัยข้อมูลของ UA เป็นระยะควรดำเนินการเมื่อสภาพแวดล้อมซอฟต์แวร์และบุคลากรของ AU เปลี่ยนแปลงด้วยความช่วยเหลือของโปรแกรมทดสอบที่จำลองความพยายามใน UA
ต้องมีวิธีการในการกู้คืนระบบป้องกันข้อมูลของ NSD โดยจัดให้มีการบำรุงรักษาซอฟต์แวร์สองชุดของระบบป้องกันข้อมูลของ NSD และการอัปเดตเป็นระยะและการตรวจสอบประสิทธิภาพ
ต้องใช้อุปกรณ์ป้องกันที่ผ่านการรับรอง การรับรองจะดำเนินการโดยศูนย์รับรองพิเศษหรือองค์กรเฉพาะทางที่ได้รับอนุญาตให้รับรองวิธีการป้องกัน SZI NSD
2.10. ข้อกำหนดสำหรับผู้พูดของกลุ่มแรก
การกำหนด:
"-" - ไม่มีข้อกำหนดสำหรับคลาสนี้
"+" - มีข้อกำหนดสำหรับคลาสนี้
ระบบย่อยและข้อกำหนด | ชั้นเรียน | ||||
1D | 1G | 1B | 1B | 1A | |
1. ระบบย่อยการควบคุมการเข้าออก | |||||
1.1. การระบุ การรับรองความถูกต้อง และการควบคุมการเข้าถึงของอาสาสมัคร: | |||||
เข้าสู่ระบบ | + | + | + | + | + |
ไปยังขั้ว, คอมพิวเตอร์, โหนดเครือข่ายคอมพิวเตอร์, ช่องทางการสื่อสาร, อุปกรณ์คอมพิวเตอร์ภายนอก | - | + | + | + | + |
สู่โปรแกรม | - | + | + | + | + |
ไปยังวอลุ่ม ไดเร็กทอรี ไฟล์ เร็กคอร์ด ฟิลด์เร็กคอร์ด | - | + | + | + | + |
1.2. การจัดการการไหลของข้อมูล | - | - | + | + | + |
2. ระบบย่อยการลงทะเบียนและบัญชี | |||||
2.1. การลงทะเบียนและการบัญชี: | |||||
เข้า (ออก) ของเรื่องการเข้าถึงไปยัง (จาก) ระบบ (โหนดเครือข่าย) | + | + | + | + | + |
การออกเอกสารส่งออก (กราฟิก) ที่พิมพ์ออกมา | - | + | + | + | + |
การเปิดตัว (เสร็จสิ้น) โปรแกรมและกระบวนการ (งาน งาน) | - | + | + | + | + |
เข้าถึงโปรแกรมของหัวข้อการเข้าถึงไฟล์ที่ได้รับการป้องกัน รวมถึงการสร้างและการลบ การส่งผ่านสายและช่องทางการสื่อสาร | - | + | + | + | + |
เข้าถึงโปรแกรมของหัวข้อการเข้าถึงไปยังเทอร์มินัล, คอมพิวเตอร์, โหนดเครือข่ายคอมพิวเตอร์, ช่องทางการสื่อสาร, อุปกรณ์คอมพิวเตอร์ภายนอก, โปรแกรม, โวลุ่ม, ไดเร็กทอรี, ไฟล์, เรคคอร์ด, ฟิลด์ของเรคคอร์ด | - | + | + | + | + |
เปลี่ยนพลังของวิชาที่เข้าถึงได้ | - | - | + | + | + |
สร้างวัตถุการเข้าถึงที่ปลอดภัย | - | - | + | + | + |
2.2. การบัญชีสำหรับสื่อบันทึกข้อมูล | + | + | + | + | + |
2.3. การทำความสะอาด (zeroing, depersonalization) ของพื้นที่ว่างของ RAM คอมพิวเตอร์และไดรฟ์ภายนอก | - | + | + | + | + |
2.4. การส่งสัญญาณพยายามละเมิดการป้องกัน | - | - | + | + | + |
3. ระบบย่อยการเข้ารหัส | |||||
3.1. การเข้ารหัสข้อมูลที่ละเอียดอ่อน | - | - | - | + | + |
3.2. การเข้ารหัสข้อมูลที่เป็นของหัวข้อการเข้าถึงต่างๆ (กลุ่มวิชา) โดยใช้คีย์ที่แตกต่างกัน | - | - | - | - | + |
3.3. การใช้เครื่องมือเข้ารหัส (รับรอง) ที่ได้รับการรับรอง | - | - | - | + | + |
4. ระบบย่อยความสมบูรณ์ | |||||
4.1. รับรองความสมบูรณ์ของซอฟต์แวร์และข้อมูลที่ประมวลผล | + | + | + | + | + |
4.2. การป้องกันทางกายภาพของอุปกรณ์คอมพิวเตอร์และผู้ให้บริการข้อมูล | + | + | + | + | + |
4.3. การปรากฏตัวของผู้ดูแลระบบ (บริการ) ของการปกป้องข้อมูลในAS | - | - | + | + | + |
4.4. การทดสอบ SZI NSD . เป็นระยะ | + | + | + | + | + |
4.5. ความพร้อมของวิธีการกู้คืนระบบรักษาความปลอดภัยข้อมูลNSD | + | + | + | + | + |
4.6. การใช้อุปกรณ์ป้องกันที่ผ่านการรับรอง | - | - | + | + | + |
ระบบย่อยการควบคุมการเข้าถึง:
การระบุและการตรวจสอบสิทธิ์ของหัวเรื่องการเข้าถึงควรดำเนินการเมื่อเข้าสู่ระบบโดยใช้รหัสผ่านถาวรแบบมีเงื่อนไขที่มีความยาวอย่างน้อยหกอักขระที่เป็นตัวอักษรและตัวเลขคละกัน
ระบบย่อยของการลงทะเบียนและการบัญชี:
การลงทะเบียนการเข้า (ออก) ของหัวข้อการเข้าถึงระบบ (จากระบบ) หรือการลงทะเบียนการโหลดและการเริ่มต้นระบบปฏิบัติการและการปิดซอฟต์แวร์ควรดำเนินการ การลงทะเบียนออกจากระบบหรือการปิดระบบไม่ได้ดำเนินการในขณะที่ปิดฮาร์ดแวร์ของ AU ตัวเลือกการลงทะเบียนรวมถึง:
วันที่และเวลาที่เข้า (ออก) ของเรื่องการเข้าถึงระบบ (จากระบบ) หรือการโหลด (หยุด) ของระบบ
ตัวระบุ (รหัสหรือนามสกุล) ของเรื่องที่นำเสนอในระหว่างการพยายามเข้าถึง
สื่อที่ได้รับการคุ้มครองทั้งหมดต้องได้รับการพิจารณาโดยการทำเครื่องหมายและป้อนข้อมูลเข้าสู่ระบบ (บัตรลงทะเบียน)
การบัญชีสำหรับสื่อที่ได้รับการคุ้มครองควรจัดทำในวารสาร (ตู้เก็บเอกสาร) โดยมีการลงทะเบียนการออก (แผนกต้อนรับ)
ระบบย่อยความซื่อสัตย์:
ความสมบูรณ์ของเครื่องมือซอฟต์แวร์ของระบบรักษาความปลอดภัยข้อมูลของ NSD ข้อมูลที่กำลังดำเนินการ ตลอดจนความไม่เปลี่ยนรูปของสภาพแวดล้อมซอฟต์แวร์
โดยที่:
ควรดำเนินการรักษาความปลอดภัยทางกายภาพของ SVT (อุปกรณ์และสื่อเก็บข้อมูล) ซึ่งให้การควบคุมการเข้าถึงสถานที่ NPP โดยบุคคลที่ไม่ได้รับอนุญาตการปรากฏตัวของอุปสรรคที่เชื่อถือได้ในการเข้าสู่สถานที่ NPP โดยไม่ได้รับอนุญาตและการจัดเก็บสื่อข้อมูล โดยเฉพาะอย่างยิ่งในช่วงนอกเวลาทำการ
การทดสอบการทำงานของระบบรักษาความปลอดภัยข้อมูลของ UA เป็นระยะควรดำเนินการเมื่อสภาพแวดล้อมซอฟต์แวร์และบุคลากรของ AU เปลี่ยนแปลงด้วยความช่วยเหลือของโปรแกรมทดสอบที่จำลองความพยายามใน UA
ควรมีวิธีการในการกู้คืนระบบป้องกันข้อมูลของ NSD โดยจัดให้มีการบำรุงรักษาซอฟต์แวร์สองชุดของระบบป้องกันข้อมูลของ NSD และการอัปเดตเป็นระยะและการตรวจสอบประสิทธิภาพ
2.12. ข้อกำหนดสำหรับการรักษาความปลอดภัยระดับ 1G:
ระบบย่อยการควบคุมการเข้าถึง:
การระบุและรับรองความถูกต้องของหัวเรื่องการเข้าถึงควรดำเนินการเมื่อเข้าสู่ระบบโดยใช้ตัวระบุ (รหัส) และรหัสผ่านถาวรแบบมีเงื่อนไข ซึ่งมีความยาวอย่างน้อยหกตัวอักษรและตัวเลข
การระบุเทอร์มินัล, คอมพิวเตอร์, โหนดเครือข่ายคอมพิวเตอร์, ช่องทางการสื่อสาร, อุปกรณ์คอมพิวเตอร์ภายนอกโดยใช้ชื่อตรรกะควรดำเนินการ
การระบุโปรแกรม วอลุ่ม ไดเร็กทอรี ไฟล์ เร็กคอร์ด ฟิลด์ของเร็กคอร์ดตามชื่อควรดำเนินการ
การเข้าถึงทรัพยากรที่ได้รับการคุ้มครองของอาสาสมัครจะต้องถูกควบคุมตามเมทริกซ์การเข้าถึง
ระบบย่อยของการลงทะเบียนและการบัญชี:
การลงทะเบียนการเข้า (ออก) ของหัวข้อการเข้าถึงระบบ (จากระบบ) หรือการลงทะเบียนการโหลดและการเริ่มต้นระบบปฏิบัติการและการปิดซอฟต์แวร์ควรดำเนินการ การลงทะเบียนออกจากระบบหรือการปิดระบบไม่ได้ดำเนินการในขณะที่ปิดฮาร์ดแวร์ของ AU ตัวเลือกการลงทะเบียนรวมถึง:
วันที่และเวลาที่เข้า (ออก) ของเรื่องการเข้าถึงระบบ (จากระบบ) หรือการโหลด (หยุด) ของระบบ
ผลลัพธ์ของการพยายามเข้าสู่ระบบ: สำเร็จหรือไม่สำเร็จ - ไม่ได้รับอนุญาต;
ตัวระบุ (รหัสหรือนามสกุล) ของเรื่องที่นำเสนอในระหว่างการพยายามเข้าถึง
การลงทะเบียนการออกเอกสารที่พิมพ์ (กราฟิก) สำหรับสำเนา "ยาก" ควรดำเนินการ ตัวเลือกการลงทะเบียนรวมถึง:
วันที่และเวลาที่ออก (อ้างอิงถึงระบบย่อยเอาต์พุต);
การออกข้อกำหนดอุปกรณ์ [ชื่อตรรกะ (หมายเลข) ของอุปกรณ์ภายนอก];
ตัวระบุของหัวเรื่องการเข้าถึงที่ร้องขอเอกสาร
การเริ่มต้น (เสร็จสิ้น) ของโปรแกรมและกระบวนการ (งาน, งาน) ที่มีไว้สำหรับการประมวลผลไฟล์ที่ได้รับการป้องกันควรได้รับการลงทะเบียน ตัวเลือกการลงทะเบียนรวมถึง:
วันที่และเวลาที่เปิดตัว;
ชื่อ (ตัวระบุ) ของโปรแกรม (กระบวนการ, งาน);
ตัวระบุของหัวข้อการเข้าถึงที่ร้องขอโปรแกรม (กระบวนการ งาน);
ผลการเปิดตัว (สำเร็จ, ไม่สำเร็จ - ไม่ได้รับอนุญาต);
ควรดำเนินการลงทะเบียนความพยายามในการเข้าถึงด้วยเครื่องมือซอฟต์แวร์ (โปรแกรม กระบวนการ งาน งาน) ไปยังไฟล์ที่ได้รับการป้องกัน
ตัวเลือกการลงทะเบียนรวมถึง:
เข้าถึงตัวระบุหัวเรื่อง;
ข้อกำหนดของไฟล์ที่ได้รับการป้องกัน
ควรดำเนินการลงทะเบียนความพยายามในการเข้าถึงซอฟต์แวร์กับวัตถุการเข้าถึงที่มีการป้องกันเพิ่มเติมต่อไปนี้: เทอร์มินัล คอมพิวเตอร์ โหนดเครือข่ายคอมพิวเตอร์ สายสื่อสาร (ช่องสัญญาณ) อุปกรณ์คอมพิวเตอร์ภายนอก โปรแกรม ไดรฟ์ข้อมูล ไดเรกทอรี ไฟล์ ระเบียน เขตข้อมูลของระเบียน
ตัวเลือกการลงทะเบียนรวมถึง:
วันที่และเวลาที่พยายามเข้าถึงวัตถุที่ได้รับการคุ้มครองซึ่งระบุผลลัพธ์: สำเร็จ, ไม่สำเร็จ - ไม่ได้รับอนุญาต;
เข้าถึงตัวระบุหัวเรื่อง;
คุณสมบัติของวัตถุที่ได้รับการป้องกัน [ชื่อตรรกะ (หมายเลข)];
สื่อที่ได้รับการคุ้มครองทั้งหมดควรได้รับการพิจารณาโดยการทำเครื่องหมายและป้อนข้อมูลประจำตัวในวารสาร (บัตรลงทะเบียน)
การบัญชีสำหรับสื่อที่ได้รับการคุ้มครองควรจัดทำในวารสาร (ตู้เก็บเอกสาร) โดยมีการลงทะเบียนการออก (แผนกต้อนรับ)
ควรทำความสะอาด (zeroing, depersonalization) ของพื้นที่ว่างของ RAM คอมพิวเตอร์และไดรฟ์ภายนอก การล้างจะดำเนินการโดยการเขียนแบบสุ่มครั้งเดียวไปยังพื้นที่หน่วยความจำว่างที่เคยใช้เพื่อจัดเก็บข้อมูลที่ได้รับการป้องกัน (ไฟล์)
ระบบย่อยความซื่อสัตย์:
โดยที่:
ความสมบูรณ์ของ SZI NSD ถูกตรวจสอบเมื่อโหลดระบบโดยเช็คซัมของส่วนประกอบ SZI
ความสมบูรณ์ของสภาพแวดล้อมซอฟต์แวร์มั่นใจได้โดยการใช้นักแปลจากภาษาระดับสูงและไม่มีวิธีการแก้ไขรหัสวัตถุของโปรแกรมในกระบวนการประมวลผลและ (หรือ) การจัดเก็บข้อมูลที่ได้รับการป้องกัน
ควรดำเนินการรักษาความปลอดภัยทางกายภาพของ SVT (อุปกรณ์และสื่อเก็บข้อมูล) ซึ่งให้การควบคุมการเข้าถึงสถานที่ NPP โดยบุคคลที่ไม่ได้รับอนุญาตการปรากฏตัวของอุปสรรคที่เชื่อถือได้ในการเข้าสู่สถานที่ NPP โดยไม่ได้รับอนุญาตและการจัดเก็บสื่อข้อมูล โดยเฉพาะอย่างยิ่งในช่วงนอกเวลาทำการ
การทดสอบการทำงานของระบบรักษาความปลอดภัยข้อมูลของ UA เป็นระยะควรดำเนินการเมื่อสภาพแวดล้อมซอฟต์แวร์และบุคลากรของ AU เปลี่ยนแปลงด้วยความช่วยเหลือของโปรแกรมทดสอบที่จำลองความพยายามใน UA
ควรมีวิธีการในการกู้คืนระบบป้องกันข้อมูลของ NSD โดยจัดให้มีการบำรุงรักษาซอฟต์แวร์สองชุดของระบบป้องกันข้อมูลของ NSD และการอัปเดตเป็นระยะและการตรวจสอบประสิทธิภาพ
2.13. ข้อกำหนดสำหรับคลาสความปลอดภัย 1B:
ระบบย่อยการควบคุมการเข้าถึง:
การระบุและรับรองความถูกต้องของหัวเรื่องการเข้าถึงควรดำเนินการเมื่อเข้าสู่ระบบโดยใช้ตัวระบุ (รหัส) และรหัสผ่านถาวรแบบมีเงื่อนไขที่มีความยาวอย่างน้อยหกตัวอักษรและตัวเลข
การระบุเทอร์มินัล, คอมพิวเตอร์, โหนดเครือข่ายคอมพิวเตอร์, ช่องทางการสื่อสาร, อุปกรณ์คอมพิวเตอร์ภายนอกโดยใช้ชื่อตรรกะและ (หรือ) ที่อยู่ควรดำเนินการ
การระบุโปรแกรม วอลุ่ม ไดเร็กทอรี ไฟล์ เร็กคอร์ด ฟิลด์ของเร็กคอร์ดตามชื่อควรดำเนินการ
ระบบย่อยของการลงทะเบียนและการบัญชี:
การลงทะเบียนการเข้า (ออก) ของการเข้าถึงขึ้นอยู่กับระบบ (จากระบบ) หรือการลงทะเบียนการโหลดและการเริ่มต้นระบบปฏิบัติการและการปิดซอฟต์แวร์ของระบบปฏิบัติการ การลงทะเบียนออกจากระบบหรือการปิดระบบไม่ได้ดำเนินการในขณะที่ปิดฮาร์ดแวร์ของ AU ตัวเลือกการลงทะเบียนรวมถึง:
วันที่และเวลาที่เข้า (ออก) ของเรื่องการเข้าถึงระบบ (จากระบบ) หรือการโหลด (หยุด) ของระบบ
ผลลัพธ์ของการพยายามเข้าสู่ระบบ: สำเร็จหรือไม่สำเร็จ - ไม่ได้รับอนุญาต;
ตัวระบุ (รหัสหรือนามสกุล) ของเรื่องที่นำเสนอในระหว่างการพยายามเข้าถึง
รหัสหรือรหัสผ่านที่แสดงในระหว่างการพยายามไม่สำเร็จ
การลงทะเบียนการออกเอกสารที่พิมพ์ (กราฟิก) สำหรับสำเนา "ยาก" ควรดำเนินการ การออกจะต้องมาพร้อมกับการทำเครื่องหมายอัตโนมัติของแต่ละแผ่น (หน้า) ของเอกสารพร้อมหมายเลขซีเรียลและรายละเอียดการบัญชี AS ที่ระบุจำนวนแผ่นทั้งหมด (หน้า) ในแผ่นงานสุดท้ายของเอกสาร ตัวเลือกการลงทะเบียนรวมถึง:
วันที่และเวลาที่ออก (อ้างอิงถึงระบบย่อยเอาต์พุต);
การออกข้อกำหนดอุปกรณ์ [ชื่อตรรกะ (หมายเลข) ของอุปกรณ์ภายนอก];
เนื้อหาโดยย่อ (ชื่อ ประเภท รหัส รหัส) และระดับการรักษาความลับของเอกสาร
ตัวระบุของหัวเรื่องการเข้าถึงที่ร้องขอเอกสาร
การเริ่มต้น (เสร็จสิ้น) ของโปรแกรมและกระบวนการ (งาน, งาน) ที่มีไว้สำหรับการประมวลผลไฟล์ที่ได้รับการป้องกันควรได้รับการลงทะเบียน ตัวเลือกการลงทะเบียนรวมถึง:
วันที่และเวลาที่เปิดตัว;
ชื่อ (ตัวระบุ) ของโปรแกรม (กระบวนการ, งาน);
ตัวระบุของหัวข้อการเข้าถึงที่ร้องขอโปรแกรม (กระบวนการ งาน);
ผลการเปิดตัว (สำเร็จ, ไม่สำเร็จ - ไม่ได้รับอนุญาต);
วันที่และเวลาที่พยายามเข้าถึงไฟล์ที่ได้รับการป้องกัน ซึ่งระบุผลลัพธ์: สำเร็จ ไม่สำเร็จ - ไม่ได้รับอนุญาต
เข้าถึงตัวระบุหัวเรื่อง;
ข้อกำหนดของไฟล์ที่ได้รับการป้องกัน
วันที่และเวลาที่พยายามเข้าถึงวัตถุที่ได้รับการคุ้มครองซึ่งระบุผลลัพธ์: สำเร็จ, ไม่สำเร็จ - ไม่ได้รับอนุญาต;
เข้าถึงตัวระบุหัวเรื่อง;
คุณสมบัติของวัตถุที่ได้รับการป้องกัน [ชื่อตรรกะ (หมายเลข)];
ไฟล์ที่ได้รับการป้องกันที่สร้างขึ้นควรได้รับการพิจารณาโดยอัตโนมัติด้วยความช่วยเหลือของการทำเครื่องหมายเพิ่มเติมที่ใช้ในระบบย่อยการควบคุมการเข้าถึง การทำเครื่องหมายควรสะท้อนถึงระดับการรักษาความลับของวัตถุ
การบัญชีสำหรับสื่อที่ได้รับการคุ้มครองทั้งหมดควรดำเนินการโดยการทำเครื่องหมายและป้อนข้อมูลประจำตัวในวารสาร (บัตรลงทะเบียน)
การบัญชีสำหรับสื่อที่ได้รับการคุ้มครองควรจัดทำในวารสาร (ตู้เก็บเอกสาร) โดยมีการลงทะเบียนการออก (แผนกต้อนรับ)
ควรทำบัญชีหลายประเภทสำหรับสื่อที่ได้รับการคุ้มครอง (ซ้ำกัน)
ความพยายามในการละเมิดความปลอดภัยควรได้รับการส่งสัญญาณ
ระบบย่อยความซื่อสัตย์:
ต้องมั่นใจในความสมบูรณ์ของเครื่องมือซอฟต์แวร์ NSD SZI ตลอดจนความไม่เปลี่ยนรูปของสภาพแวดล้อมซอฟต์แวร์
โดยที่:
ความสมบูรณ์ของ SZI NSD ถูกตรวจสอบเมื่อโหลดระบบโดยเช็คซัมของส่วนประกอบ SZI
ความสมบูรณ์ของสภาพแวดล้อมซอฟต์แวร์มั่นใจได้ด้วยการใช้นักแปลจากภาษาระดับสูงและไม่มีวิธีการแก้ไขรหัสวัตถุของโปรแกรมเมื่อทำการประมวลผลและ (หรือ) จัดเก็บข้อมูลที่ได้รับการป้องกัน
ควรทำการทดสอบฟังก์ชั่นทั้งหมดของระบบรักษาความปลอดภัยข้อมูลของ NSD เป็นระยะโดยใช้เครื่องมือซอฟต์แวร์พิเศษอย่างน้อยปีละครั้ง
ต้องมีวิธีการในการกู้คืนระบบป้องกันข้อมูลของ NSD โดยจัดให้มีการบำรุงรักษาซอฟต์แวร์สองชุดของระบบป้องกันข้อมูลของ NSD และการอัปเดตเป็นระยะและการตรวจสอบประสิทธิภาพ
ต้องใช้อุปกรณ์ป้องกันที่ผ่านการรับรอง การรับรองจะดำเนินการโดยศูนย์รับรองพิเศษหรือองค์กรเฉพาะทางที่ได้รับอนุญาตให้รับรองวิธีการป้องกัน SZI NSD
2.14. ข้อกำหนดสำหรับคลาสความปลอดภัย 1B:
ระบบย่อยการควบคุมการเข้าถึง:
หัวข้อการเข้าถึงควรได้รับการระบุและรับรองความถูกต้องเมื่อเข้าสู่ระบบโดยใช้ตัวระบุ (รหัส) และรหัสผ่านชั่วคราวที่มีอักขระที่เป็นตัวอักษรและตัวเลขคละกันอย่างน้อยแปดตัว
เทอร์มินัล คอมพิวเตอร์ โหนดเครือข่ายคอมพิวเตอร์ ช่องทางการสื่อสาร อุปกรณ์คอมพิวเตอร์ภายนอก ควรระบุที่อยู่ทางกายภาพ (ตัวเลข)
การระบุโปรแกรม วอลุ่ม ไดเร็กทอรี ไฟล์ เร็กคอร์ด ฟิลด์ของเร็กคอร์ดตามชื่อควรดำเนินการ
การควบคุมการเข้าถึงของอาสาสมัครในทรัพยากรที่ได้รับการคุ้มครองควรดำเนินการตามเมทริกซ์การเข้าถึง
ควรควบคุมการไหลของข้อมูลโดยใช้ป้ายกำกับระดับความลับ ในเวลาเดียวกัน ระดับการรักษาความลับของไดรฟ์จะต้องไม่ต่ำกว่าระดับการรักษาความลับของข้อมูลที่บันทึกไว้
ระบบย่อยของการลงทะเบียนและการบัญชี:
การลงทะเบียนการเข้า (ออก) ของหัวข้อการเข้าถึงระบบ (จากระบบ) หรือการลงทะเบียนการโหลดและการเริ่มต้นระบบปฏิบัติการและการปิดซอฟต์แวร์ควรดำเนินการ การลงทะเบียนออกจากระบบหรือการปิดระบบไม่ได้ดำเนินการในขณะที่ปิดฮาร์ดแวร์ของ AU ตัวเลือกการลงทะเบียนรวมถึง:
วันที่และเวลาที่เข้า (ออก) ของเรื่องการเข้าถึงระบบ (จากระบบ) หรือการโหลด (หยุด) ของระบบ
ผลลัพธ์ของการพยายามเข้าสู่ระบบ: สำเร็จหรือไม่สำเร็จ - ไม่ได้รับอนุญาต;
ตัวระบุ (รหัสหรือนามสกุล) ของเรื่องที่นำเสนอในระหว่างการพยายามเข้าถึง
รหัสหรือรหัสผ่านที่แสดงในระหว่างการพยายามไม่สำเร็จ
การลงทะเบียนการออกเอกสารที่พิมพ์ (กราฟิก) สำหรับสำเนา "ยาก" ควรดำเนินการ การออกจะต้องมาพร้อมกับการทำเครื่องหมายอัตโนมัติของแต่ละแผ่น (หน้า) ของเอกสารพร้อมหมายเลขซีเรียลและรายละเอียดการบัญชี AS ที่ระบุจำนวนแผ่นทั้งหมด (หน้า) ในแผ่นงานสุดท้ายของเอกสาร พร้อมกับการออกเอกสารบัตรบัญชีของเอกสารควรถูกวาดขึ้นโดยอัตโนมัติโดยระบุวันที่ออกเอกสารรายละเอียดการบัญชีของเอกสาร สรุป(ชื่อ, ชนิด, รหัส, รหัส) และระดับการรักษาความลับของเอกสาร, ชื่อผู้ออกเอกสาร, จำนวนหน้าและสำเนาของเอกสาร (กรณีออกเอกสารไม่ครบถ้วน - เอกสารที่ออกจริง) จำนวนแผ่นในคอลัมน์ "การแต่งงาน") ตัวเลือกการลงทะเบียนรวมถึง:
วันที่และเวลาที่ออก (อ้างอิงถึงระบบย่อยเอาต์พุต);
การออกข้อกำหนดอุปกรณ์ [ชื่อตรรกะ (หมายเลข) ของอุปกรณ์ภายนอก];
เนื้อหาโดยย่อ (ชื่อ ประเภท รหัส รหัส) และระดับการรักษาความลับของเอกสาร
ตัวระบุของหัวเรื่องการเข้าถึงที่ร้องขอเอกสาร
ปริมาณของเอกสารที่ออกจริง (จำนวนหน้า แผ่นงาน สำเนา) และผลลัพธ์ของการออก สำเร็จ (ทั้งเล่ม) ไม่สำเร็จ
วันที่และเวลาที่เปิดตัว;
ชื่อ (ตัวระบุ) ของโปรแกรม (กระบวนการ, งาน);
ตัวระบุของหัวข้อการเข้าถึงที่ร้องขอโปรแกรม (กระบวนการ งาน);
ผลการเปิดตัว (สำเร็จ, ไม่สำเร็จ - ไม่ได้รับอนุญาต);
ควรดำเนินการลงทะเบียนความพยายามในการเข้าถึงด้วยเครื่องมือซอฟต์แวร์ (โปรแกรม กระบวนการ งาน งาน) ไปยังไฟล์ที่ได้รับการป้องกัน ตัวเลือกการลงทะเบียนรวมถึง:
วันที่และเวลาที่พยายามเข้าถึงไฟล์ที่ได้รับการป้องกัน ซึ่งระบุผลลัพธ์: สำเร็จ ไม่สำเร็จ - ไม่ได้รับอนุญาต
เข้าถึงตัวระบุหัวเรื่อง;
ข้อกำหนดของไฟล์ที่ได้รับการป้องกัน
ชื่อของโปรแกรม (กระบวนการ งาน งาน) ที่เข้าถึงไฟล์
ประเภทของการดำเนินการที่ร้องขอ (การอ่าน การเขียน การลบ การดำเนินการ การขยาย ฯลฯ)
ควรดำเนินการลงทะเบียนความพยายามในการเข้าถึงซอฟต์แวร์กับวัตถุการเข้าถึงที่มีการป้องกันเพิ่มเติมต่อไปนี้: เทอร์มินัล คอมพิวเตอร์ โหนดเครือข่ายคอมพิวเตอร์ สายสื่อสาร (ช่องสัญญาณ) อุปกรณ์คอมพิวเตอร์ภายนอก โปรแกรม ไดรฟ์ข้อมูล ไดเรกทอรี ไฟล์ ระเบียน เขตข้อมูลของระเบียน ตัวเลือกการลงทะเบียนรวมถึง:
วันที่และเวลาที่พยายามเข้าถึงวัตถุที่ได้รับการคุ้มครองซึ่งระบุผลลัพธ์: สำเร็จ, ไม่สำเร็จ - ไม่ได้รับอนุญาต;
เข้าถึงตัวระบุหัวเรื่อง;
คุณสมบัติของวัตถุที่ได้รับการป้องกัน [ชื่อตรรกะ (หมายเลข)];
ชื่อของโปรแกรม (กระบวนการ งาน งาน) ที่เข้าถึงวัตถุที่ได้รับการป้องกัน
ประเภทของการดำเนินการที่ร้องขอ (อ่าน เขียน ต่อเชื่อม จับภาพ ฯลฯ );
ควรดำเนินการลงทะเบียนการเปลี่ยนแปลงอำนาจของวัตถุการเข้าถึงและสถานะของวัตถุการเข้าถึง ตัวเลือกการลงทะเบียนรวมถึง:
วันที่และเวลาที่มีการเปลี่ยนแปลงอำนาจหน้าที่
ตัวระบุของหัวเรื่องการเข้าถึง (ผู้ดูแลระบบ) ที่ทำการเปลี่ยนแปลง
ID ของหัวเรื่องที่มีการเปลี่ยนแปลงการอนุญาตและประเภทของการเปลี่ยนแปลง (รหัสผ่าน, รหัส, โปรไฟล์, ฯลฯ );
ข้อมูลจำเพาะของวัตถุที่สถานะการป้องกันถูกเปลี่ยนและประเภทของการเปลี่ยนแปลง (รหัสป้องกัน ระดับการรักษาความลับ)
สื่อที่ได้รับการคุ้มครองทั้งหมดควรนำมาพิจารณาด้วยวิธีการติดฉลาก
การบัญชีสำหรับสื่อที่ได้รับการคุ้มครองควรจัดทำในวารสาร (ตู้เก็บเอกสาร) โดยมีการลงทะเบียนการออก (แผนกต้อนรับ)
ควรทำบัญชีหลายประเภทสำหรับสื่อที่ได้รับการคุ้มครอง (ซ้ำกัน)
ควรทำความสะอาด (zeroing, depersonalization) ของพื้นที่ว่างของ RAM คอมพิวเตอร์และไดรฟ์ภายนอก การล้างจะดำเนินการโดยการเขียนซ้ำสองครั้งในพื้นที่หน่วยความจำว่างที่ใช้เก็บข้อมูลที่มีการป้องกัน
ความพยายามในการละเมิดความปลอดภัยควรส่งสัญญาณไปยังเทอร์มินัลของผู้ดูแลระบบและผู้บุกรุก
ระบบย่อยการเข้ารหัส:
การเข้ารหัสข้อมูลที่เป็นความลับทั้งหมดที่บันทึกไว้ในผู้ให้บริการข้อมูลที่ใช้ร่วมกัน (ที่ใช้ร่วมกัน) โดยหัวข้อการเข้าถึงที่แตกต่างกัน ในช่องทางการสื่อสาร เช่นเดียวกับผู้ให้บริการข้อมูลแบบพกพาที่ถอดออกได้ (ฟลอปปีดิสก์ ไมโครคาสเซ็ต ฯลฯ) ของหน่วยความจำภายนอกระยะยาวสำหรับการจัดเก็บนอกที่ทำงาน เซสชัน หัวข้อที่ได้รับอนุญาตของการเข้าถึง ในกรณีนี้ ควรบังคับทำความสะอาดพื้นที่หน่วยความจำภายนอกที่มีข้อมูลที่ไม่ได้เข้ารหัสไว้ก่อนหน้านี้
ต้องใช้วิธีการป้องกันการเข้ารหัสที่ผ่านการรับรอง การรับรองจะดำเนินการโดยศูนย์รับรองพิเศษหรือองค์กรเฉพาะทางที่ได้รับใบอนุญาตให้รับรองเครื่องมือรักษาความปลอดภัยแบบเข้ารหัสลับ
ระบบย่อยความซื่อสัตย์:
ต้องมั่นใจในความสมบูรณ์ของเครื่องมือซอฟต์แวร์ NSD SZI ตลอดจนความไม่เปลี่ยนรูปของสภาพแวดล้อมซอฟต์แวร์
โดยที่:
ความสมบูรณ์ของระบบข้อมูลความปลอดภัยของข้อมูลของ NSD นั้นถูกตรวจสอบโดยผลรวมของส่วนประกอบทั้งหมดของระบบป้องกันข้อมูล ทั้งในระหว่างการโหลดและแบบไดนามิกระหว่างการทำงานของ AU
ความสมบูรณ์ของสภาพแวดล้อมซอฟต์แวร์รับประกันโดยคุณภาพของการยอมรับซอฟต์แวร์ใน AU ซึ่งออกแบบมาเพื่อประมวลผลไฟล์ที่มีการป้องกัน
ควรมีการป้องกันทางกายภาพของ ICT (อุปกรณ์และผู้ให้บริการข้อมูล) เพื่อให้มีการป้องกันอาณาเขตและอาคารที่ NPP ตั้งอยู่อย่างต่อเนื่องโดยใช้อุปกรณ์รักษาความปลอดภัยทางเทคนิคและบุคลากรพิเศษ การควบคุมการเข้าออกอย่างเข้มงวด อุปกรณ์พิเศษของสถานที่ NPP;
ควรมีผู้ดูแลระบบรักษาความปลอดภัยข้อมูล (บริการ) ที่รับผิดชอบในการบำรุงรักษา การทำงานปกติ และการควบคุมการทำงานของระบบป้องกันข้อมูล NSD ผู้ดูแลระบบต้องมีสถานีของตนเองและวิธีการควบคุมการปฏิบัติงานที่จำเป็นและผลกระทบต่อความปลอดภัยของโรงไฟฟ้านิวเคลียร์
ควรมีวิธีการในการกู้คืน SZI UA ที่พร้อมใช้งาน โดยจัดให้มีการบำรุงรักษาซอฟต์แวร์ IS IS สองชุด และการอัปเดตตามระยะเวลาและการตรวจสอบประสิทธิภาพ ตลอดจนการกู้คืนฟังก์ชันของ IS UA ในทันทีในกรณีที่เกิดความล้มเหลว
ต้องใช้อุปกรณ์ป้องกันที่ผ่านการรับรอง การรับรองจะดำเนินการโดยศูนย์รับรองพิเศษหรือองค์กรเฉพาะทางที่ได้รับอนุญาตให้รับรองวิธีการป้องกัน SZI NSD
2.15. ข้อกำหนดสำหรับการรักษาความปลอดภัยระดับ 1A:
ระบบย่อยการควบคุมการเข้าถึง:
การระบุและรับรองความถูกต้องของวัตถุที่เข้าถึงควรดำเนินการเมื่อเข้าสู่ระบบด้วยคุณสมบัติไบโอเมตริกซ์หรือ อุปกรณ์พิเศษ(โทเค็น, การ์ด, กุญแจอิเล็กทรอนิกส์) และรหัสผ่านชั่วคราวที่มีอักขระที่เป็นตัวอักษรและตัวเลขคละกันอย่างน้อยแปดตัว
การระบุฮาร์ดแวร์และการตรวจสอบความถูกต้องของเทอร์มินัล คอมพิวเตอร์ โหนดเครือข่ายคอมพิวเตอร์ ช่องทางการสื่อสาร อุปกรณ์คอมพิวเตอร์ภายนอกที่ใช้อุปกรณ์ในตัวที่ไม่ซ้ำใครควรดำเนินการ
การระบุและรับรองความถูกต้องของโปรแกรม วอลุ่ม ไดเร็กทอรี ไฟล์ เร็กคอร์ด ฟิลด์เร็กคอร์ดตามชื่อและเช็คซัม (รหัสผ่าน คีย์) ควรดำเนินการ
การควบคุมการเข้าถึงของอาสาสมัครในทรัพยากรที่ได้รับการคุ้มครองควรดำเนินการตามเมทริกซ์การเข้าถึง
ควรควบคุมการไหลของข้อมูลโดยใช้ป้ายกำกับระดับความลับ ในเวลาเดียวกัน ระดับการรักษาความลับของไดรฟ์จะต้องไม่ต่ำกว่าระดับการรักษาความลับของข้อมูลที่บันทึกไว้
ระบบย่อยของการลงทะเบียนและการบัญชี:
การลงทะเบียนการเข้า (ออก) ของการเข้าถึงขึ้นอยู่กับระบบ (จากระบบ) หรือการลงทะเบียนการโหลดและการเริ่มต้นระบบปฏิบัติการและการปิดซอฟต์แวร์ของระบบปฏิบัติการ การออกจากระบบหรือการปิดระบบไม่ได้ดำเนินการในเวลาที่ฮาร์ดแวร์ปิดตัวของ AU ตัวเลือกการลงทะเบียนรวมถึง:
วันที่และเวลาที่เข้า (ออก) ของเรื่องการเข้าถึงระบบ (จากระบบ) หรือการโหลด (หยุด) ของระบบ
ผลลัพธ์ของการพยายามเข้าสู่ระบบ: สำเร็จหรือไม่สำเร็จ - ไม่ได้รับอนุญาต;
ตัวระบุ (รหัสหรือนามสกุล) ของเรื่องที่นำเสนอในระหว่างการพยายามเข้าถึง
รหัสหรือรหัสผ่านที่แสดงในระหว่างการพยายามไม่สำเร็จ
การลงทะเบียนการออกเอกสารที่พิมพ์ (กราฟิก) สำหรับสำเนา "ยาก" ควรดำเนินการ การออกจะต้องมาพร้อมกับการทำเครื่องหมายอัตโนมัติของแต่ละแผ่น (หน้า) ของเอกสารพร้อมหมายเลขซีเรียลและรายละเอียดการบัญชี AS ที่ระบุจำนวนแผ่นทั้งหมด (หน้า) ในแผ่นงานสุดท้ายของเอกสาร
ร่วมกับการออกเอกสาร บัตรลงทะเบียนของเอกสารควรถูกวาดขึ้นโดยอัตโนมัติโดยระบุวันที่ออกเอกสาร รายละเอียดการบัญชีของเอกสาร สรุป (ชื่อ ประเภท รหัส รหัส) และระดับของ การรักษาความลับของเอกสาร, ชื่อของผู้ออกเอกสาร, จำนวนหน้าและสำเนาของเอกสาร (ในกรณีที่ออกเอกสารไม่สมบูรณ์ - จำนวนแผ่นที่ออกจริงในคอลัมน์ "การแต่งงาน") ตัวเลือกการลงทะเบียนรวมถึง:
วันที่และเวลาที่ออก (อ้างอิงถึงระบบย่อยเอาต์พุต);
การออกข้อกำหนดอุปกรณ์ [ชื่อตรรกะ (หมายเลข) ของอุปกรณ์ภายนอก];
ตัวระบุของหัวเรื่องการเข้าถึงที่ร้องขอเอกสาร
ปริมาณของเอกสารที่ออกจริง (จำนวนหน้า แผ่นงาน สำเนา) และผลลัพธ์ของการออก: สำเร็จ (ทั้งเล่ม) ไม่สำเร็จ
การลงทะเบียนการเปิดตัว (เสร็จสิ้น) ของโปรแกรมและกระบวนการทั้งหมด (งาน, งาน) ใน AS ควรดำเนินการ ตัวเลือกการลงทะเบียนรวมถึง:
วันที่และเวลาที่เปิดตัว;
ชื่อ (ตัวระบุ) ของโปรแกรม (กระบวนการ, งาน);
ตัวระบุของหัวข้อการเข้าถึงที่ร้องขอโปรแกรม (กระบวนการ งาน);
ผลการเปิดตัว (สำเร็จ, ไม่สำเร็จ - ไม่ได้รับอนุญาต);
ข้อมูลจำเพาะทั้งหมดของไฟล์ "รูปภาพ" ที่สอดคล้องกันของโปรแกรม (กระบวนการ, งาน) - อุปกรณ์ (โวลุ่ม, ไดเรกทอรี), ชื่อไฟล์ (ส่วนขยาย);
ควรดำเนินการลงทะเบียนความพยายามในการเข้าถึงด้วยเครื่องมือซอฟต์แวร์ (โปรแกรม กระบวนการ งาน งาน) ไปยังไฟล์ที่ได้รับการป้องกัน ตัวเลือกการลงทะเบียนรวมถึง:
วันที่และเวลาที่พยายามเข้าถึงไฟล์ที่ได้รับการป้องกัน ซึ่งระบุผลลัพธ์: สำเร็จ ไม่สำเร็จ - ไม่ได้รับอนุญาต
เข้าถึงตัวระบุหัวเรื่อง;
ข้อกำหนดของไฟล์ที่ได้รับการป้องกัน
ชื่อของโปรแกรม (กระบวนการ, งาน, งาน) ที่เข้าถึงไฟล์, ประเภทของการดำเนินการที่ร้องขอ (การอ่าน, การเขียน, การลบ, การดำเนินการ, การขยาย ฯลฯ );
ควรดำเนินการลงทะเบียนความพยายามในการเข้าถึงซอฟต์แวร์กับวัตถุการเข้าถึงที่มีการป้องกันเพิ่มเติมต่อไปนี้: เทอร์มินัล คอมพิวเตอร์ โหนดเครือข่ายคอมพิวเตอร์ สายสื่อสาร (ช่องสัญญาณ) อุปกรณ์คอมพิวเตอร์ภายนอก โปรแกรม ไดรฟ์ข้อมูล ไดเรกทอรี ไฟล์ ระเบียน เขตข้อมูลของระเบียน ตัวเลือกการลงทะเบียนรวมถึง:
วันที่และเวลาที่พยายามเข้าถึงวัตถุที่ได้รับการคุ้มครองซึ่งระบุผลลัพธ์: สำเร็จ, ไม่สำเร็จ - ไม่ได้รับอนุญาต;
เข้าถึงตัวระบุหัวเรื่อง;
คุณสมบัติของวัตถุที่ได้รับการป้องกัน [ชื่อตรรกะ (หมายเลข)];
ชื่อของโปรแกรม (กระบวนการ งาน งาน) ที่เข้าถึงวัตถุที่ได้รับการป้องกัน
ประเภทของการดำเนินการที่ร้องขอ (อ่าน เขียน ต่อเชื่อม จับภาพ ฯลฯ );
ควรดำเนินการลงทะเบียนการเปลี่ยนแปลงอำนาจของวัตถุการเข้าถึงและสถานะของวัตถุการเข้าถึง ตัวเลือกการลงทะเบียนรวมถึง:
วันที่และเวลาที่มีการเปลี่ยนแปลงอำนาจหน้าที่และสถานะ
ตัวระบุของหัวเรื่องการเข้าถึง (ผู้ดูแลระบบ) ที่ทำการเปลี่ยนแปลง
ตัวระบุหัวข้อการเข้าถึงซึ่งสิทธิ์และประเภทของการเปลี่ยนแปลง (รหัสผ่าน รหัส โปรไฟล์ ฯลฯ) มีการเปลี่ยนแปลง
ข้อมูลจำเพาะของวัตถุที่มีการเปลี่ยนแปลงสถานะการป้องกันและประเภทของการเปลี่ยนแปลง (รหัสป้องกัน ระดับการรักษาความลับ)
สร้างไฟล์ที่ได้รับการป้องกัน, เริ่มต้นไดรฟ์ข้อมูลที่ได้รับการป้องกัน, ไดเร็กทอรี, พื้นที่ RAM ของคอมพิวเตอร์ที่จัดสรรสำหรับการประมวลผลไฟล์ที่ได้รับการป้องกัน, อุปกรณ์คอมพิวเตอร์ภายนอก, ช่องทางการสื่อสาร, คอมพิวเตอร์, โหนดเครือข่ายคอมพิวเตอร์, ชิ้นส่วนเครือข่ายควรนำมาพิจารณาโดยอัตโนมัติด้วยความช่วยเหลือของการทำเครื่องหมายเพิ่มเติมที่ใช้ใน ควบคุมการเข้าถึงระบบย่อย การทำเครื่องหมายควรสะท้อนถึงระดับการรักษาความลับของวัตถุ
สื่อที่ได้รับการคุ้มครองทั้งหมดควรได้รับการพิจารณาโดยการทำเครื่องหมายและป้อนข้อมูลประจำตัวในวารสาร (บัตรลงทะเบียน)
การบัญชีสำหรับสื่อที่ได้รับการคุ้มครองควรจัดทำในวารสาร (ตู้เก็บเอกสาร) โดยมีการลงทะเบียนการออก (แผนกต้อนรับ)
ควรทำบัญชีหลายประเภทสำหรับสื่อที่ได้รับการคุ้มครอง (ซ้ำกัน)
ควรทำความสะอาด (zeroing, depersonalization) ของพื้นที่ว่างของ RAM คอมพิวเตอร์และไดรฟ์ภายนอก การล้างจะดำเนินการโดยการเขียนซ้ำสองครั้งในพื้นที่หน่วยความจำอิสระที่มีข้อมูลที่ได้รับการป้องกัน
การส่งสัญญาณที่เชื่อถือได้ของความพยายามที่จะละเมิดการป้องกันควรดำเนินการบนเทอร์มินัลของผู้ดูแลระบบและผู้บุกรุก
ระบบย่อยการเข้ารหัส:
การเข้ารหัสข้อมูลที่เป็นความลับทั้งหมดที่บันทึกไว้ในผู้ให้บริการข้อมูลที่ใช้ร่วมกัน (ที่ใช้ร่วมกัน) โดยหัวข้อการเข้าถึงที่แตกต่างกัน ในช่องทางการสื่อสาร เช่นเดียวกับผู้ให้บริการข้อมูลที่ถอดออกได้ (ฟลอปปีดิสก์ ไมโครคาสเซ็ต ฯลฯ) ของหน่วยความจำภายนอกระยะยาวสำหรับการจัดเก็บนอกที่ทำงาน เซสชัน หัวข้อที่ได้รับอนุญาตของการเข้าถึง ในเวลาเดียวกัน พื้นที่ของหน่วยความจำภายนอกที่มีข้อมูลที่ไม่ได้เข้ารหัสก่อนหน้านี้ควรถูกล้างโดยอัตโนมัติ
ควรใช้คีย์การเข้ารหัสที่แตกต่างกันเพื่อเข้ารหัสข้อมูลที่เป็นของหัวข้อการเข้าถึงที่แตกต่างกัน (กลุ่มของหัวข้อ)
การเข้าถึงการดำเนินการเข้ารหัสของหัวเรื่องและคีย์การเข้ารหัสที่เกี่ยวข้องจะต้องถูกควบคุมเพิ่มเติมโดยระบบย่อยการควบคุมการเข้าถึง
ต้องใช้วิธีการป้องกันการเข้ารหัสที่ผ่านการรับรอง การรับรองจะดำเนินการโดยศูนย์รับรองพิเศษหรือองค์กรเฉพาะทางที่ได้รับใบอนุญาตให้รับรองเครื่องมือรักษาความปลอดภัยแบบเข้ารหัสลับ
ระบบย่อยความซื่อสัตย์:
ต้องมั่นใจในความสมบูรณ์ของเครื่องมือซอฟต์แวร์ NSD SZI ตลอดจนความไม่เปลี่ยนรูปของสภาพแวดล้อมซอฟต์แวร์
โดยที่:
ความสมบูรณ์ของระบบข้อมูลความปลอดภัยของข้อมูลของ NSD ถูกตรวจสอบโดยการแทรกการจำลองของอัลกอริทึม GOST 28147-89 หรือโดยการตรวจสอบของอัลกอริทึมอื่นที่ผ่านการรับรองของส่วนประกอบระบบป้องกันข้อมูลทั้งหมดทั้งในระหว่างการโหลดและแบบไดนามิกระหว่างการทำงานของ AU ;
ความสมบูรณ์ของสภาพแวดล้อมซอฟต์แวร์รับประกันโดยคุณภาพของการยอมรับซอฟต์แวร์ใดๆ ใน AU
ควรมีการป้องกันทางกายภาพของ ICT (อุปกรณ์และผู้ให้บริการข้อมูล) เพื่อให้มีการป้องกันอาณาเขตและอาคารที่ NPP ตั้งอยู่อย่างต่อเนื่องโดยใช้อุปกรณ์รักษาความปลอดภัยทางเทคนิคและบุคลากรพิเศษ การควบคุมการเข้าออกอย่างเข้มงวด อุปกรณ์พิเศษของสถานที่ NPP;
ควรมีผู้ดูแลระบบรักษาความปลอดภัยข้อมูล (บริการ) ที่รับผิดชอบในการบำรุงรักษา การทำงานปกติ และการควบคุมการทำงานของระบบป้องกันข้อมูล NSD ผู้ดูแลระบบต้องมีสถานีของตนเองและวิธีการควบคุมการปฏิบัติงานที่จำเป็นและผลกระทบต่อความปลอดภัยของโรงไฟฟ้านิวเคลียร์
การทดสอบฟังก์ชั่นทั้งหมดของระบบรักษาความปลอดภัยข้อมูลของ NSD เป็นระยะด้วยความช่วยเหลือของซอฟต์แวร์พิเศษควรดำเนินการอย่างน้อยไตรมาสละครั้ง
ควรมีวิธีการในการกู้คืน SZI UA ที่พร้อมใช้งาน โดยจัดให้มีการบำรุงรักษาซอฟต์แวร์ IS IPS สองชุด และการอัปเดตตามระยะเวลาและการตรวจสอบประสิทธิภาพ ตลอดจนการคืนค่าฟังก์ชันของ ISS UA แบบออนไลน์โดยอัตโนมัติในกรณีที่เกิดความล้มเหลว
ต้องใช้อุปกรณ์ป้องกันที่ผ่านการรับรอง การรับรองจะดำเนินการโดยศูนย์รับรองพิเศษหรือองค์กรเฉพาะทางที่ได้รับอนุญาตให้รับรองวิธีการป้องกัน SZI NSD
2.16. มาตรการขององค์กรภายในกรอบของระบบรักษาความปลอดภัยข้อมูลของ NSD ใน AU การประมวลผลหรือการจัดเก็บข้อมูลที่เป็นทรัพย์สินของรัฐและจัดเป็นความลับต้องเป็นไปตามข้อกำหนดของรัฐเพื่อให้แน่ใจว่างานที่ทำนั้นเป็นความลับ
2.17. เมื่อประมวลผลหรือจัดเก็บข้อมูลใน AS ที่ไม่ได้จัดประเภทเป็นความลับ ภายในกรอบของระบบรักษาความปลอดภัยข้อมูลของ NSD ขอแนะนำให้ใช้มาตรการขององค์กรต่อไปนี้:
การระบุข้อมูลที่เป็นความลับและเอกสารประกอบในรูปแบบของรายการข้อมูลที่จะได้รับการคุ้มครอง
การกำหนดขั้นตอนการกำหนดระดับอำนาจของเรื่องการเข้าถึงตลอดจนกลุ่มบุคคลที่ได้รับสิทธิ์นี้
การจัดตั้งและการปฏิบัติตามกฎการควบคุมการเข้าถึง เช่น ชุดของกฎที่ควบคุมสิทธิ์ในการเข้าถึงวัตถุ
ทำความคุ้นเคยกับรายการข้อมูลที่ได้รับการคุ้มครองและระดับอำนาจหน้าที่ ตลอดจนเอกสารขององค์กร การบริหาร และการทำงานที่กำหนดข้อกำหนดและขั้นตอนในการประมวลผลข้อมูลที่เป็นความลับ
ได้รับจากเรื่องการเข้าถึงการไม่เปิดเผยข้อมูลลับที่ได้รับมอบหมายให้เขา;
ให้ความคุ้มครองสถานที่ซึ่ง NPP ที่ได้รับการคุ้มครองตั้งอยู่ (อาณาเขต อาคาร สถานที่ สื่อจัดเก็บ) โดยจัดให้มีเสาที่เหมาะสม วิธีการป้องกันทางเทคนิค หรือโดยวิธีอื่นใดที่ป้องกันหรือขัดขวางการโจรกรรมอุปกรณ์คอมพิวเตอร์ (SVT) อย่างมีนัยสำคัญ , สื่อข้อมูล และ NSD ถึง SVT และสายสื่อสาร
การเลือกคลาสความปลอดภัย AS ตามลักษณะของการประมวลผลข้อมูล (เทคโนโลยีการประมวลผล เงื่อนไขการทำงานเฉพาะของ AS) และระดับของการรักษาความลับ
องค์กรของบริการรักษาความปลอดภัยข้อมูล (ผู้รับผิดชอบ, ผู้ดูแลระบบของ AS) ซึ่งรับผิดชอบด้านการบัญชี, การจัดเก็บและการออกสื่อข้อมูล, รหัสผ่าน, คีย์, การบำรุงรักษาข้อมูลบริการของสถานที่รักษาความปลอดภัยข้อมูลของ NSD (การสร้างรหัสผ่าน, คีย์) การบำรุงรักษากฎการควบคุมการเข้าถึง) การยอมรับซอฟต์แวร์ใหม่ที่รวมอยู่ใน AS ตลอดจนการควบคุมกระบวนการทางเทคโนโลยีในการประมวลผลข้อมูลที่เป็นความลับ ฯลฯ
การพัฒนาระบบรักษาความปลอดภัยข้อมูลของ NSD รวมถึงเอกสารขององค์กร การบริหาร และการปฏิบัติงานที่เกี่ยวข้อง
การดำเนินการยอมรับสิ่งอำนวยความสะดวกด้านความปลอดภัยข้อมูลของ NSD โดยเป็นส่วนหนึ่งของ AU
2.18. เมื่อพัฒนา AS ที่ออกแบบมาเพื่อประมวลผลหรือจัดเก็บข้อมูลที่เป็นทรัพย์สินของรัฐและจัดเป็นความลับจำเป็นต้องให้ความสำคัญตาม RD "สิ่งอำนวยความสะดวกคอมพิวเตอร์ การป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต ตัวบ่งชี้ความปลอดภัยจากการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต " ในคลาสความปลอดภัย AS ไม่ต่ำกว่า (ตามกลุ่ม) 3A, 2A, 1A, 1B, 1C และใช้ SVT ที่ผ่านการรับรอง:
ไม่ต่ำกว่าคลาส 4 - สำหรับคลาสความปลอดภัย AC 1B;
ไม่ต่ำกว่าคลาส 3 - สำหรับคลาสความปลอดภัย AS 1B;
ไม่ต่ำกว่าคลาส 2 - สำหรับคลาสความปลอดภัย AC 1A