Главная страница
Навигация по странице:

  • Подсистема обеспечения целостности

  • Подсистемы и требования Классы 1Д 1Г 1В 1Б 1А 1. Подсистема управления доступом

  • 2. Подсистема регистрации и учета

  • 3. Криптографическая подсистема

  • 4. Подсистема обеспечения целостности

  • Подсистема управления доступом

  • Подсистема регистрации и учета

  • РД АС 2023. Руководящий документ Автоматизированные системы


    Скачать 346.96 Kb.
    НазваниеРуководящий документ Автоматизированные системы
    АнкорРД АС 2023
    Дата15.03.2023
    Размер346.96 Kb.
    Формат файлаpdf
    Имя файлаRD_1992.03.30_1.pdf
    ТипРешение
    #992041
    страница2 из 3
    1   2   3
    Криптографическая подсистема:
    должно осуществляться шифрование всей конфиденциальной информации, записываемой на совместно используемые различными субъектами доступа (разделяемые) носители данных, в каналах связи, а также

    12 на съемные носители данных (дискеты, микрокассеты и т.п.) долговременной внешней памяти для хранения за пределами сеансов работы санкционированных субъектов доступа. При этом должны выполняться автоматическое освобождение и очистка областей внешней памяти, содержавших ранее незашифрованную информацию;
    - доступ субъектов к операциям шифрования и криптографическим ключам должен дополнительно контролироваться подсистемой управления доступом;
    - должны использоваться сертифицированные средства криптографической защиты. Их сертификацию проводят специальные сертификационные центры или специализированные предприятия, имеющие лицензию на проведение сертификации криптографических средств защиты.
    Подсистема обеспечения целостности:
    должна быть обеспечена целостность программных средств СЗИ НСД, обрабатываемой информации, а также неизменность программной среды.
    При этом:
    - целостность СЗИ НСД проверяется при загрузке системы по наличию имен
    (идентификаторов) компонент
    СЗИ;
    - целостность программной среды обеспечивается отсутствием в АС средств разработки и отладки программ;
    - должны осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая постоянное наличие охраны территории и здания, где размещается АС, с помощью технических средств охраны и специального персонала, использование строгого пропускного режима, специальное оборудование помещений
    АС;
    - должен быть предусмотрен администратор (служба) защиты информации, ответственный за ведение, нормальное функционирование и контроль работы
    СЗИ
    НСД;
    - должно проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тест - программ, имитирующих попытки
    НСД;
    - должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности;
    - должны использоваться сертифицированные средства защиты. Их сертификацию проводят специальные сертификационные центры или специализированные предприятия, имеющие лицензию на проведение сертификации средств защиты СЗИ НСД.
    2.10. Требования к АС первой группы

    13
    Обозначения:
    " - " - нет требований к данному классу;
    " + " - есть требования к данному классу.
    Подсистемы и требования
    Классы

    1. Подсистема управления доступом
    1.1. Идентификация, проверка подлинности и контроль доступа субъектов: в систему
    + + + + + к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ
    -
    + + + + к программам
    -
    + + + + к томам, каталогам, файлам, записям, полям записей
    -
    + + + +
    1.2. Управление потоками информации
    -
    - + + +
    2. Подсистема регистрации и учета
    2.1. Регистрация и учет: входа (выхода) субъектов доступа в (из) систему (узел сети)
    + + + + + выдачи печатных (графических) выходных документов
    -
    + + + + запуска (завершения) программ и процессов (заданий, задач)
    -
    + + + + доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи
    -
    + + + + доступа программ субъектов доступа к терминалам,
    ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей
    -
    + + + + изменения полномочий субъектов доступа
    -
    - + + + создаваемых защищаемых объектов доступа
    -
    - + + +
    2.2. Учет носителей информации
    + + + + +
    2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей
    -
    + + + +
    2.4. Сигнализация попыток нарушения защиты
    -
    - + + +
    3. Криптографическая подсистема
    3.1. Шифрование конфиденциальной информации
    -
    -
    - + +
    3.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах
    -
    -
    - - +
    3.3. Использование аттестованных (сертифицированных)
    -
    -
    - + +

    14 криптографических средств
    4. Подсистема обеспечения целостности
    4.1. Обеспечение целостности программных средств и обрабатываемой информации
    + + + + +
    4.2. Физическая охрана средств вычислительной техники и носителей информации
    + + + + +
    4.3. Наличие администратора (службы) защиты информации в АС
    -
    - + + +
    4.4. Периодическое тестирование СЗИ НСД
    + + + + +
    4.5. Наличие средств восстановления СЗИ НСД
    + + + + +
    4.6. Использование сертифицированных средств защиты
    -
    - + + +
    2.11. Требования к классу защищенности 1Д:
    Подсистема управления доступом:
    должна осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов.
    Подсистема регистрации и учета:
    должна осуществляться регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения
    АС.
    В параметрах регистрации указываются:
    - дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки
    (останова) системы;
    - результат попытки входа: успешная или неуспешная
    - несанкционированная;
    - идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа;
    - должен проводиться учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных журнала (учетную карточку);
    - учет защищаемых носителей должен проводиться в журнале (картотеке) с регистрацией их выдачи (приема).
    Подсистема обеспечения целостности:
    должна быть обеспечена целостность программных средств СЗИ НСД, обрабатываемой информации, а также неизменность программной среды.

    15
    При этом:
    - целостность СЗИ НСД проверяется при загрузке системы по контрольным суммам компонент
    СЗИ;
    - целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации;
    - должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая контроль доступа в помещения АС посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения АС и хранилище носителей информации, особенно в нерабочее время;
    - должно проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тест - программ, имитирующих попытки
    НСД;
    - должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности.
    2.12. Требования к классу защищенности 1Г:
    Подсистема управления доступом:
    должна осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного действия, длиной не менее шести буквенно-цифровых символов;
    - должна осуществляться идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по логическим именам;
    - должна осуществляться идентификация программ, томов, каталогов, файлов, записей, полей записей по именам;
    - должен осуществляться контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа.
    Подсистема регистрации и учета:
    должна осуществляться регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения
    АС.
    В параметрах регистрации указываются:
    - дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки
    (останова) системы;
    - результат попытки входа: успешная или неуспешная
    -

    16 несанкционированная;
    - идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа;
    - код или пароль, предъявленный при неуспешной попытке;
    - должна осуществляться регистрация выдачи печатных (графических) документов на "твердую" копию. В параметрах регистрации указываются:
    - дата и время выдачи
    (обращения к подсистеме вывода);
    - спецификация устройства выдачи [логическое имя (номер) внешнего устройства];
    - краткое содержание (наименование, вид, шифр, код) и уровень конфиденциальности документа;
    - идентификатор субъекта доступа, запросившего документ;
    - должна осуществляться регистрация запуска (завершения) программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов.
    В параметрах регистрации указываются:
    - дата и время запуска;
    - имя
    (идентификатор) программы
    (процесса, задания);
    - идентификатор субъекта доступа, запросившего программу (процесс, задание);
    - результат запуска (успешный, неуспешный - несанкционированный);
    - должна осуществляться регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам.
    В параметрах регистрации указываются:
    - дата и время попытки доступа к защищаемому файлу с указанием ее результата: успешная, неуспешная
    - несанкционированная;
    - идентификатор субъекта доступа;
    - спецификация защищаемого файла;
    - должна осуществляться регистрация попыток доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам, ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей.
    В параметрах регистрации указываются:
    - дата и время попытки доступа к защищаемому объекту с указанием ее результата: успешная, неуспешная
    - несанкционированная;
    - идентификатор субъекта доступа;
    - спецификация защищаемого объекта
    [логическое имя
    (номер)];
    - должен проводиться учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку);
    - учет защищаемых носителей должен проводиться в журнале (картотеке) с

    17 регистрацией их выдачи
    (приема);
    - должна осуществляться очистка
    (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей.
    Очистка осуществляется однократной произвольной записью в освобождаемую область памяти, ранее использованную для хранения защищаемых данных (файлов);
    Подсистема обеспечения целостности:
    должна быть обеспечена целостность программных средств СЗИ НСД, а также неизменность программной среды.
    При этом:
    - целостность СЗИ НСД проверяется при загрузке системы по контрольным суммам компонент
    СЗИ;
    - целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации;
    - должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая контроль доступа в помещения АС посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения АС и хранилище носителей информации, особенно в нерабочее время;
    - должно проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тест - программ, имитирующих попытки
    НСД;
    - должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности.
    2.13. Требования к классу защищенности 1В:
    Подсистема управления доступом:
    должны осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов;
    - должна осуществляться идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по логическим именам и (или) адресам;
    - должна осуществляться идентификация программ, томов, каталогов, файлов, записей, полей записей по именам;

    18
    - должен осуществляться контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа;
    - должно осуществляться управление потоками информации с помощью меток конфиденциальности. При этом уровень конфиденциальности накопителей должен быть не ниже уровня конфиденциальности записываемой на него информации.
    Подсистема регистрации и учета:
    должна осуществляться регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения
    АС.
    В параметрах регистрации указываются:
    - дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки
    (останова) системы;
    - результат попытки входа: успешная или неуспешная
    - несанкционированная;
    - идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа;
    - код или пароль, предъявленный при неуспешной попытке;
    - должна осуществляться регистрация выдачи печатных (графических) документов на "твердую" копию. Выдача должна сопровождаться автоматической маркировкой каждого листа (страницы) документа его последовательным номером и учетными реквизитами АС с указанием на последнем листе документа общего количества листов (страниц). В параметрах регистрации указываются:
    - дата и время выдачи
    (обращение к подсистеме вывода);
    - спецификация устройства выдачи [логическое имя (номер) внешнего устройства];
    - краткое содержание (наименование, вид, шифр, код) и уровень конфиденциальности документа;
    - идентификатор субъекта доступа, запросившего документ;
    - объем фактически выданного документа (количество страниц, листов, копий) и результат выдачи: успешный (весь объем), неуспешный;
    - должна осуществляться регистрация запуска (завершения) программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов.
    В параметрах регистрации указываются:
    - дата и время запуска;
    - имя
    (идентификатор) программы
    (процесса, задания);
    - идентификатор субъекта доступа, запросившего программу (процесс, задание);
    - результат запуска (успешный, неуспешный - несанкционированный);

    19
    - должна осуществляться регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам. В параметрах регистрации указываются:
    - дата и время попытки доступа к защищаемому файлу с указанием ее результата: успешная, неуспешная
    - несанкционированная;
    - идентификатор субъекта доступа;
    - спецификация защищаемого файла;
    - имя программы (процесса, задания, задачи), осуществляющей доступ к файлу;
    - вид запрашиваемой операции (чтение, запись, удаление, выполнение, расширение и т.п.);
    - должна осуществляться регистрация попыток доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам, ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей.
    В параметрах регистрации указываются:
    - дата и время попытки доступа к защищаемому объекту с указанием ее результата: успешная, неуспешная
    - несанкционированная;
    - идентификатор субъекта доступа;
    - спецификация защищаемого объекта
    [логическое имя
    (номер)];
    - имя программы (процесса, задания, задачи), осуществляющей доступ к защищаемому объекту;
    - вид запрашиваемой операции (чтение, запись, монтирование, захват и т.п.);
    - должна осуществляться регистрация изменений полномочий субъектов доступа и статуса объектов доступа. В параметрах регистрации указываются:
    - дата и время изменения полномочий;
    - идентификатор субъекта доступа (администратора), осуществившего изменения;
    - должен осуществляться автоматический учет создаваемых защищаемых файлов с помощью их дополнительной маркировки, используемой в подсистеме управления доступом. Маркировка должна отражать уровень конфиденциальности объекта;
    - должен проводиться учет всех защищаемых носителей информации с помощью их маркировки и занесением учетных данных в журнал (учетную карточку);
    - учет защищаемых носителей должен проводиться в журнале (картотеке) с регистрацией их выдачи
    (приема);
    - должно проводиться несколько видов учета (дублирующих) защищаемых носителей информации;
    - должна осуществляться очистка
    (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей.
    Очистка осуществляется двукратной произвольной записью в любую освобождаемую область памяти, использованную для хранения защищаемой

    20 информации;
    - должна осуществляться сигнализация попыток нарушения защиты.
    Подсистема обеспечения целостности:
    должна быть обеспечена целостность программных средств СЗИ НСД, а также неизменность программной среды.
    При этом:
    - целостность СЗИ НСД проверяется при загрузке системы по контрольным суммам компонент
    СЗИ;
    - целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ при обработке и (или) хранении защищаемой информации;
    - должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая постоянное наличие охраны территории и здания, где размещается АС, с помощью технических средств охраны и специального персонала, использование строгого пропускного режима, специальное оборудование помещений
    АС;
    - должен быть предусмотрен администратор (служба) защиты информации, ответственный за ведение, нормальное функционирование и контроль работы
    СЗИ НСД. Администратор должен иметь свой терминал и необходимые средства оперативного контроля и воздействия на безопасность АС;
    - должно проводиться периодическое тестирование всех функций СЗИ НСД с помощью специальных программных средств не реже одного раза в год;
    - должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности;
    - должны использоваться сертифицированные средства защиты. Их сертификацию проводят специальные сертификационные центры или специализированные предприятия, имеющие лицензию на проведение сертификации средств защиты СЗИ НСД.
    2.14. Требования к классу защищенности 1Б:
    1   2   3


    написать администратору сайта