I
|
В подсистеме управления доступом:
|
|
|
|
|
Реализовать идентификацию и проверку подлинности субъектов доступа при входе в операционную систему ИСПДн по паролю условно-постоянного действия, длиной не менее шести буквенно-цифровых символов.
|
+
|
+
|
+
|
|
Реализовать идентификацию терминалов, технических средств, узлов ИСПДн, каналов связи, внешних устройств по их логическим именам.
|
-
|
-
|
При многопользовательском режиме
|
|
Реализовать идентификацию программ, томов, каталогов, файлов, записей, полей записей по именам.
|
-
|
-
|
При многопользовательском режиме
|
|
Реализовать контроль доступа пользователей к защищаемым ресурсам в соответствии с матрицей доступа.
|
-
|
-
|
При многопользовательском режиме и разных правах доступа
|
II
|
В подсистеме регистрации и учета:
|
|
|
|
|
Осуществлять регистрацию входа (выхода) пользователя в систему (из системы), либо регистрацию загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения ИСПДн. В параметрах регистрации указываются:
|
|
|
|
Дата и время входа (выхода) пользователя в систему (из системы) или загрузки (останова) системы;
|
При однопользовательском режиме
|
При однопользовательском режиме
|
-
|
Дата и время входа (выхода) пользователя в систему (из системы) или загрузки (останова) системы, результат попытки входа (успешная или неуспешная);
|
При многопользовательском режиме и равных правах доступа
|
При многопользовательском режиме и равных правах доступа
|
При однопользовательском и многопользовательском режимах обработки и равных правах доступа
|
|
Дата и время входа (выхода) пользователя в систему (из системы) или загрузки (останова) системы, результат попытки входа (успешная или неуспешная), идентификатор (код или фамилия) пользователя, предъявленный при попытке доступа;
|
При многопользовательском режиме и разных правах доступа
|
При многопользовательском режиме и разных правах доступа
|
-
|
Дата и время входа (выхода) пользователя в систему (из системы) или загрузки (останова) системы, результат попытки входа (успешная или неуспешная), идентификатор (код или фамилия) пользователя, предъявленный при попытке доступа, код или пароль, предъявленный при неуспешной попытке.
|
-
|
-
|
При многопользовательском режиме и разных правах доступа
|
|
Проводить учет всех защищаемых носителей информации с помощью их маркировки:
|
|
|
|
С занесением учетных данных в журнал учета;
|
При однопользовательском и многопользовательском режимах и равных правах доступа
|
При однопользовательском и многопользовательском режимах и равных правах доступа
|
При однопользовательском режиме
|
С занесением учетных данных в журнал учета с пометкой об их выдаче (приеме);
|
При многопользовательском режиме и разных правах доступа
|
При многопользовательском режиме и разных правах доступа
|
При многопользовательском режиме
|
|
Проводить дублирующий учет защищаемых носителей информации.
|
-
|
-
|
При однопользовательском и многопользовательском режимах и равных правах доступа
|
|
Осуществлять регистрацию выдачи печатных (графических) документов на бумажный носитель. В параметрах регистрации указываются:
|
|
|
|
Дата и время выдачи (обращения к подсистеме вывода), краткое содержание документа (наименование, вид, код), спецификация устройства выдачи (логическое имя (номер) внешнего устройства);
|
-
|
-
|
При однопользовательском режиме
|
Дата и время выдачи (обращения к подсистеме вывода), спецификация устройства выдачи (логическое имя (номер) внешнего устройства), краткое содержание документа (наименование, вид, шифр, код), идентификатор пользователя, запросившего документ.
|
-
|
-
|
При многопользовательском режиме
|
|
Осуществлять регистрацию запуска (завершения) программ и процессов (заданий, задач), предназначенных для обработки персональных данных. В параметрах регистрации указываются дата и время запуска, имя (идентификатор) программы (процесса, задания), идентификатор пользователя, запросившего программу (процесс, задание), результат запуска (успешный, неуспешный).
|
-
|
-
|
При многопользовательском режиме
|
|
Осуществлять регистрацию попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам. В параметрах регистрации указываются дата и время попытки доступа к защищаемому файлу с указанием ее результата (успешная, неуспешная), идентификатор пользователя, спецификация защищаемого файла.
|
-
|
-
|
При многопользовательском режиме
|
|
Осуществлять регистрацию попыток доступа программных средств к дополнительным защищаемым объектам доступа (терминалам, техническим средствам, узлам сети, линиям (каналам) связи, внешним устройствам, программам, томам, каталогам, файлам, записям, полям записей). В параметрах регистрации указываются дата и время попытки доступа к защищаемому объекту с указанием ее результата (успешная, неуспешная), идентификатор пользователя, спецификация защищаемого объекта (логическое имя (номер)).
|
-
|
+
|
+
|
|
Осуществлять очистку (обнуление, обезличивание) освобождаемых областей оперативной памяти информационной системы и внешних носителей информации.
|
-
|
-
|
+
|
III
|
В подсистеме обеспечения целостности:
|
|
|
|
|
Обеспечить целостность программных средств защиты в составе СЗПДн, а также неизменность программной среды. При этом целостность средств защиты проверяется:
|
|
|
|
При загрузке системы по наличию имен (идентификаторов) компонентов СЗПДн, целостность программной среды обеспечивается отсутствием в ИСПДн средств разработки и отладки программ во время обработки и (или) хранения защищаемой информации;
|
При однопользовательском и многопользовательском режимах и равных правах доступа
|
При однопользовательском и многопользовательском режимах и равных правах доступа
|
При однопользовательском и многопользовательском режимах и равных правах доступа
|
При загрузке системы по контрольным суммам компонентов средств защиты информации, а целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации.
|
При многопользовательском режиме и разных правах доступа
|
При многопользовательском режиме и разных правах доступа
|
При многопользовательском режиме обработки и разных правах доступа
|
|
Осуществлять физическую охрану технических средств информационной системы (устройств и носителей информации), предусматривающую постоянное наличие охраны территории и здания.
|
-
|
-
|
При однопользовательском и многопользовательском режимах и равных правах доступа
|
|
Осуществлять физическую охрану ИСПДн (устройств и носителей информации), предусматривающую контроль доступа в помещения ИСПДн посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения ИСПДн и хранилище носителей информации.
|
+
|
+
|
При многопользовательском режиме обработки и разных правах доступа
|
|
Проводить периодическое тестирование функций СЗПДн при изменении программной среды и пользователей ИСПДн с помощью тест-программ, имитирующих попытки НСД.
|
+
|
+
|
+
|
|
Должны быть в наличии средства восстановления СЗПДн, предусматривающие ведение двух копий программных средств защиты информации, их периодическое обновление и контроль работоспособности.
|
+
|
+
|
+
|
IV
|
Требования к средствам межсетевого экранирования при подключении ИСПДн к сетям международного информационного обмена
|
|
|
|
|
Фильтрация на сетевом уровне для каждого сетевого пакета независимо (решение о фильтрации принимается на основе сетевых адресов отправителя и получателя или на основе других эквивалентных атрибутов).
|
+
|
+
|
+
|
|
Фильтрация пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств.
|
-
|
+
|
+
|
|
Фильтрация с учетом входного и выходного сетевого интерфейса как средства проверки подлинности сетевых адресов.
|
-
|
+
|
+
|
|
Фильтрация с учетом любых значимых полей сетевых пакетов; регистрация и учет фильтруемых пакетов (в параметры регистрации включаются адрес, время и результат фильтрации).
|
-
|
+
|
+
|
|
Фильтрация на транспортном уровне запросов на установление виртуальных соединений с учетом транспортных адресов отправителя и получателя.
|
-
|
-
|
+
|
|
Фильтрация на прикладном уровне запросов к прикладным сервисам с учетом прикладных адресов отправителя и получателя.
|
-
|
-
|
+
|
|
Фильтрацию с учетом даты и времени.
|
-
|
-
|
+
|
|
Аутентификация входящих и исходящих запросов методами, устойчивыми к пассивному и (или) активному прослушиванию сети.
|
-
|
-
|
+
|
|
Идентификация и аутентификация администратора межсетевого экрана при его локальных запросах на доступ по идентификатору (коду) и паролю условно-постоянного действия.
|
+
|
+
|
+
|
|
Идентификация и аутентификация администратора межсетевого экрана при его удаленных запросах методами, устойчивыми к пассивному и активному перехвату информации.
|
-
|
-
|
+
|
|
Регистрация входа (выхода) администратора межсетевого экрана в систему (из системы) либо загрузки и инициализации системы и ее программного останова (регистрация выхода из системы не проводится в моменты аппаратурного отключения межсетевого экрана).
|
+
|
+
|
+
|
|
Регистрация запуска программ и процессов (заданий, задач).
|
-
|
+
|
+
|
|
Регистрация и учет фильтруемых пакетов (в параметры регистрации включаются адрес, время и результат фильтрации).
|
-
|
-
|
+
|
|
Регистрация и учет запросов на установление виртуальных соединений
|
-
|
-
|
+
|
|
Регистрация действий администратора межсетевого экрана по изменению правил фильтрации.
|
-
|
-
|
+
|
|
Локальная сигнализация попыток нарушения правил фильтрации.
|
-
|
-
|
+
|
|
Предотвращение доступа неидентифицированного пользователя или пользователя, подлинность идентификации которого при аутентификации не подтвердилась.
|
-
|
-
|
+
|
|
Возможность дистанционного управления своими компонентами, в том числе возможность конфигурирования фильтров, проверки взаимной согласованности всех фильтров, анализа регистрационной информации.
|
-
|
-
|
+
|
|
Контроль целостности своей программной и информационной части; фильтрацию пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств.
|
+
|
+
|
+
|
|
Контроль целостности программной и информационной части межсетевого экрана по контрольным суммам.
|
-
|
-
|
+
|
|
Восстановление свойств межсетевого экрана после сбоев и отказов оборудования.
|
+
|
+
|
+
|
|
Регламентное тестирование реализации правил фильтрации, процесса идентификации и аутентификации администратора межсетевого экрана, процесса регистрации действий администратора межсетевого экрана, процесса контроля за целостностью программной и информационной части, процедуры восстановления.
|
+
|
+
|
+
|
V
|
При применении в ИСПДн функции голосового ввода ПДн в ИС или функции воспроизведения информации акустическими средствами ИС
|
|
|
|
|
Реализовать организационные и технические меры для обеспечения звукоизоляции ограждающих конструкций помещений, в которых расположена информационная система, их систем вентиляции и кондиционирования, не позволяющей вести прослушивание акустической (речевой) информации при голосовом вводе персональных данных в информационной системе или воспроизведении информации акустическими средствами.
|
-
|
-
|
+
|
VVI
|
Требования к программному обеспечению средств защиты информации и средствам вычислительной техники
|
|
|
|
|
Применять программное обеспечение средств защиты информации, соответствующее 4 уровню контроля отсутствия недекларированных возможностей.
|
-
|
-
|
+
|
|
Использовать средства вычислительной техники, удовлетворяющие требованиям национальных стандартов по электромагнитной совместимости, по безопасности и эргономическим требованиям к средствам отображения информации, по санитарным нормам, предъявляемым к видеодисплейным терминалам средств вычислительной техники.
|
-
|
+
|
-
|
