Главная страница
Навигация по странице:

  • МОСКВА 2016 Документ согласован

    		•

    ТЗ. Техническое задание на выполнение работ по проведению сертификационных испытаний по субд oracle Database Standard Edition 2 на соответствие требованиям по защите


    Скачать 51.7 Kb.
    НазваниеТехническое задание на выполнение работ по проведению сертификационных испытаний по субд oracle Database Standard Edition 2 на соответствие требованиям по защите
    Дата10.05.2022
    Размер51.7 Kb.
    Формат файлаdocx
    Имя файлаТЗ.docx
    ТипТехническое задание
    #520082



    ТЕХНИЧЕСКОЕ ЗАДАНИЕ

    на выполнение работ по проведению сертификационных испытаний
    ПО СУБД Oracle Database Standard Edition 2 на соответствие требованиям по защите информации от несанкционированного доступа (ТУ) в Системе сертификации
    средств защиты информации по требованиям безопасности информации
    №РОСС RU.0001.01БИ00 ФСТЭК России




    МОСКВА

    2016

    Документ согласован

    Должность
    ФИО
    Дата
    Подпись





























































    СОДЕРЖАНИЕ




    1ПЕРЕЧЕНЬ ИСПОЛЬЗУЕМЫХ ОПРЕДЕЛЕНИЙ ОБОЗНАЧЕНИЙ И СОКРАЩЕНИЙ 4

    2ОБЩИЕ ПОЛОЖЕНИЯ 7

    3ЦЕЛЬ И ЗАДАЧИ РАБОТ 8

    4ТРЕБОВАНИЯ ПО ЗАЩИТЕ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА, РЕАЛИЗАЦИЯ КОТОРЫХ КСЗ ПО СУБД ORACLE DATABASE STANDARD EDITION 2, ПОДЛЕЖИТ ПРОВЕРКЕ В РАМКАХ СЕРТИФИКАЦИОННЫХ ИСПЫТАНИЙ 9

    5ТРЕБОВАНИЯ К СОСТАВУ И СОДЕРЖАНИЮ РАБОТ 12

    6ТРЕБОВАНИЯ К ОФОРМЛЕНИЮ РЕЗУЛЬТАТОВ ИСПЫТАНИЙ 13

    7ОТЧЕТНЫЕ ДОКУМЕНТЫ 14

    8ТРЕБОВАНИЯ К ИСПОЛНИТЕЛЮ РАБОТ 14


    1. ПЕРЕЧЕНЬ ИСПОЛЬЗУЕМЫХ ОПРЕДЕЛЕНИЙ ОБОЗНАЧЕНИЙ И СОКРАЩЕНИЙ


    Перечень используемых обозначений и сокращений представлен в таблице 1.

    Таблица 1



    п/п
    Используемое обозначение (сокращениЕ)
    Определение

    1
    2
    3



    АС
    Автоматизированная система



    ЗИ от НСД
    Защита информации от несанкционированного доступа



    КСЗ
    Комплекс средств защиты



    ПО
    Программное обеспечение



    ПРД
    Правила разграничения доступа



    РД
    Руководящий документ



    РД АС
    РД «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»



    РД СВТ
    РД «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации»



    РФ
    Российская Федерация



    Сертификационные испытания по требованиям ЗИ от НСД (ТУ)
    Сертификационные испытания по требованиям ЗИ от НСД, приведенным в разделе 4 настоящего документа и формулируемым в ТУ, в Системе сертификации средств защиты информации по требованиям безопасности информации №РОСС RU.0001.01БИ00



    СВТ
    Средство вычислительной техники



    СЗИ
    Средство защиты информации от несанкционированного доступа



    Служба ИТ
    Служба информационных технологий ОАО «НК» Роснефть»



    СУБД
    Система управления базами данных



    ТУ
    Технические условия



    ФСТЭК России
    Федеральная служба по техническому и экспортному контролю России

    Перечень используемых определений представлен в таблице 2.

    Таблица 2



    п/п
    Используемый ТЕРМИН
    Определение

    1
    2
    3



    Аутентификация
    Проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности



    Доступ к информации
    Ознакомление с информацией, ее обработка, в частности, копирование модификация или уничтожение информации



    Защита от несанкционированного доступа
    Предотвращение или существенное затруднение несанкционированного доступа



    Идентификатор доступа
    Уникальный признак субъекта или объекта доступа



    Идентификация
    Присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов



    Комплекс средств защиты
    Совокупность программных и технических средств, создаваемая и поддерживаемая для обеспечения защиты средств вычислительной техники или автоматизированных систем от несанкционированного доступа к информации



    Матрица доступа
    Таблица, отображающая правила разграничения доступа



    Несанкционированный доступ к информации
    Доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами



    Объект доступа
    Единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа



    Пароль
    Идентификатор субъекта доступа, который является его (субъекта) секретом



    Правила разграничения доступа
    Совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа



    Санкционированный доступ к информации
    Доступ к информации, не нарушающий правила разграничения доступа



    Сертификация средства защиты информации
    Процесс установления соответствия средства защиты информации набору определенных требований по защите



    Средство защиты от несанкционированного доступа
    Программное, техническое или программно- техническое средство, предназначенное для предотвращения или существенного затруднения несанкционированного доступа



    Субъект доступа
    Лицо или процесс, действия которого регламентируются правилами разграничения доступа


    1. ОБЩИЕ ПОЛОЖЕНИЯ


    1. Наименование работ: «Выполнение работ по проведению по сертификационных испытаний программного обеспечения СУБД Oracle Database Standard Edition 2 на соответствие требованиям по защите информации от несанкционированного доступа (ТУ) в Системе сертификации средств защиты информации по требованиям безопасности информации №РОСС RU.0001.01БИ00 ФСТЭК России». Примечание: на сертификационные испытания будет представлено программное обеспечение СУБД Oracle Database Standard Edition 2 версии 12.1.0.2 или более поздняя версия (текущая версия на дату заключения договора с Исполнителем). Конкретная версия СУБД Oracle Database Standard Edition 2 будет указана в Договоре с Исполнителем.

    2. Заказчик: Служба ИТ ОАО «НК» Роснефть» (далее по тексту – Заказчик).

    3. Исполнитель работ: _____________________ (далее по тексту – Исполнитель). Исполнителем является юридическое лицо, аккредитованное в качестве испытательной лаборатории системы сертификации средств защиты информации ФСТЭК России по требованиям безопасности информации.

    4. При разработке настоящего документа использовались следующие нормативные и руководящие документы:

    • Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

    • Постановление Правительства РФ от 26.06.1995 № 608
      «О сертификации средств защиты информации»;

    • «Положение о сертификации средств защиты информации по требованиям безопасности информации», утвержденное Приказом председателя Гостехкомиссии при Президенте РФ (ФСТЭК России) от 27.10.1995 № 199;

    • «Положение об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям безопасности информации», утвержденное решением председателя Гостехкомиссии при Президенте РФ (ФСТЭК России) от 25.11.1994;

    • РД «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», утвержденный решением Гостехкомиссии при Президенте РФ (ФСТЭК России) от 30.03.1992;

    • РД «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации», утвержденный решением Гостехкомиссии при Президенте РФ (ФСТЭК России) от 30.03.1992;

    • РД «Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники», утвержденный решением Гостехкомиссии при Президенте РФ (ФСТЭК России) от 30.03.1992;

    • РД «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации», утвержденный решением Гостехкомиссии при Президенте РФ (ФСТЭК России) от 30.03.1992.

    1. Допускается внесение изменений в отдельные требования настоящего документа по согласованию с Заказчиком.



    1. ЦЕЛЬ И ЗАДАЧИ РАБОТ


    1. Цель работ: установление соответствия ПО СУБД Oracle Database Standard Edition 2 требованиям по защите информации от несанкционированного доступа, представленными в разделе 4 настоящего документа, и отражаемым в ТУ, с получением сертификата соответствия ФСТЭК России в Системе сертификации средств защиты информации по требованиям безопасности информации №РОСС RU.0001.01БИ00.

    2. Задачи работ:

    • разработка документации на ПО СУБД Oracle Database Standard Edition 2, необходимой для сертификационных испытаний по требованиям ЗИ от НСД (ТУ) (перечень разрабатываемой документации приведен в п. 6.1 настоящего документа);

    • разработка Программы и методики сертификационных испытаний по требованиям ЗИ от НСД (ТУ) ПО СУБД Oracle Database Standard Edition 2;

    • проведение сертификационных испытаний по требованиям ЗИ от НСД (ТУ) ПО СУБД Oracle Database Standard Edition 2;

    • оформление результатов испытаний: Отчет (протокол) о проведении сертификационных испытаний по требованиям ЗИ от НСД (ТУ) ПО СУБД Oracle Database Standard Edition 2 и Техническое заключение о проведении сертификационных испытаний по требованиям ЗИ от НСД (ТУ) ПО СУБД Oracle Database Standard Edition 2;

    • в случае соответствия ПО СУБД Oracle Database Standard Edition 2 требованиям ЗИ от НСД (ТУ) – получение сертификата соответствия ФСТЭК России на ПО СУБД Oracle Database Standard Edition 2 в Системе сертификации средств защиты информации по требованиям безопасности информации №РОСС RU.0001.01БИ00.


    1. ТРЕБОВАНИЯ ПО ЗАЩИТЕ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА, РЕАЛИЗАЦИЯ КОТОРЫХ КСЗ ПО СУБД ORACLE DATABASE STANDARD EDITION 2, ПОДЛЕЖИТ ПРОВЕРКЕ В РАМКАХ СЕРТИФИКАЦИОННЫХ ИСПЫТАНИЙ


    1. В рамках проведения сертификационных испытаний ПО СУБД Oracle Database Standard Edition 2, подлежит проверке реализация КСЗ данного ПО следующих требований по защите информации от несанкционированного доступа к классу защищенности 1Г РД АС:

    Подсистема управления доступом:

    • должна осуществляться идентификация и проверка подлинности субъектов доступа при входе в СУБД по идентификатору (коду) и паролю условно-постоянного действия, длиной не менее шести буквенно-цифровых символов;

    • должна осуществляться идентификация записей, полей записей по именам;

    • должен осуществляться контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа.

    Подсистема регистрации и учета:

    • должна осуществляться регистрация входа (выхода) субъектов доступа в СУБД (из СУБД). Регистрация выхода из СУБД не проводится в моменты аппаратурного отключения АС. В параметрах регистрации указываются:

    • дата и время входа (выхода) субъекта доступа в СУБД (из СУБД);

    • результат попытки входа: успешная или неуспешная - несанкционированная;

    • идентификатор субъекта, предъявленный при попытке доступа;

    • код или пароль, предъявленный при неуспешной попытке;

    • должна осуществляться регистрация попыток доступа программных средств к следующим дополнительным защищаемым объектам доступа: записям, полям записей. В параметрах регистрации указываются:

    • дата и время попытки доступа к защищаемому объекту с указанием ее результата: успешная, неуспешная - несанкционированная;

    • идентификатор субъекта доступа;

    • спецификация защищаемого объекта [логическое имя (номер)].

    Подсистема обеспечения целостности:

    • должна быть обеспечена целостность программных средств СЗИ СУБД, а также неизменность программной среды. При этом:

    • целостность СЗИ СУБД проверяется при загрузке системы по контрольным суммам компонент СЗИ СУБД;

    • в СУБД должны быть реализованы средства восстановления внутренних механизмов, выполняющих функции СЗИ СУБД.

    1. В рамках проведения сертификационных испытаний ПО СУБД Oracle Database Standard Edition 2, подлежит проверке реализация КСЗ данного ПО следующих требований по защите информации от несанкционированного доступа к классу защищенности 5 СВТ от НСД РД СВТ:

    • дискреционный принцип контроля доступа:

    КСЗ должен контролировать доступ наименованных субъектов (пользователя домена, под УЗ которого запущен процесс, обращающийся к записям, полям записей СУБД) к наименованным объектам (записям, полям записей СУБД).

    Для каждой пары (субъект – объект) в СВТ должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т.д.), т.е. тех типов доступа, которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу СВТ (объекту).

    КСЗ должен содержать механизм, претворяющий в жизнь дискреционные правила разграничения доступа.

    Контроль доступа должен быть применим к каждому объекту и каждому субъекту.

    Механизм, реализующий дискреционный принцип контроля доступа, должен предусматривать возможности санкционированного изменения ПРД, в том числе возможность санкционированного изменения списка пользователей СВТ и списка защищаемых объектов.

    Права изменять ПРД должны предоставляться выделенным субъектам (обладающим административными правами).

    Должны быть предусмотрены средства управления, ограничивающие распространение прав на доступ.

    • Идентификация и аутентификация:

    КСЗ должен требовать от пользователей идентифицировать себя при запросах на доступ. КСЗ должен подвергать проверке подлинность идентификации – осуществлять аутентификацию. КСЗ должен располагать необходимыми данными для идентификации и аутентификации. КСЗ должен препятствовать доступу к защищаемым ресурсам неидентифицированных пользователей и пользователей, подлинность идентификации которых при аутентификации не подтвердилась.

    • Гарантии проектирования:

    На начальном этапе проектирования СУБД должна быть построена модель защиты. Модель должна включать в себя ПРД к объектам и непротиворечивые правила изменения ПРД.

    • Регистрация (КСЗ должен быть в состоянии осуществлять регистрацию следующих событий):

    • использование идентификационного и аутентификационного механизма;

    • запрос на доступ к защищаемому ресурсу (записям, полям записей СУБД);

    • создание и уничтожение объекта;

    • действия по изменению ПРД.

    Для каждого из этих событий должна регистрироваться следующая информация:

    • дата и время;

    • субъект, осуществляющий регистрируемое действие;

    • тип события (если регистрируется запрос на доступ, то следует отмечать объект и тип доступа);

    • успешно ли осуществилось событие (обслужен запрос на доступ или нет).

    КСЗ должен содержать средства выборочного ознакомления с регистрационной информацией.

    • Целостность КСЗ СУБД:

    В СУБД должны быть предусмотрены средства периодического контроля за целостностью программной и информационной части КСЗ СУБД.

    • Тестирование (в СУБД должны тестироваться):

    • реализация ПРД (перехват явных и скрытых запросов на доступ, правильное распознавание санкционированных и несанкционированных запросов, средства защиты механизма разграничения доступа, санкционированные изменения ПРД);

    • успешное осуществление идентификации и аутентификации, а также их средства защиты;

    • регистрация событий в соответствии с требованием по защите информации от несанкционированного доступа к классу защищенности 5 СВТ от НСД РД СВТ «Регистрация», средства защиты регистрационной информации и возможность санкционированного ознакомления с ней;

    • работа механизма, осуществляющего контроль за целостностью КСЗ СУБД.

    • Руководство для пользователя:

    Документация на КСЗ СУБД должна включать в себя краткое руководство для пользователя с описанием способов использования КСЗ и его интерфейса с пользователем.

    • Руководство по КСЗ (данный документ адресован администратору защиты и должен содержать):

    • описание контролируемых функций;

    • руководство по генерации КСЗ;

    • описание старта КСЗ СУБД и процедур проверки правильности старта, процедур работы со средствами регистрации.

    • Тестовая документация:

    Должно быть предоставлено описание тестов и испытаний, которым подвергалась СУБД (в соответствии с требованием по защите информации от несанкционированного доступа к классу защищенности 5 СВТ от НСД РД СВТ «Тестирование»), и результатов тестирования.

    • Конструкторская (проектная) документация (должна содержать):

    • описание принципов работы КСЗ СУБД;

    • общую схему КСЗ;

    • описание интерфейсов КСЗ с пользователем и интерфейсов модулей КСЗ;

    • модель защиты;

    • описание механизмов контроля целостности КСЗ, идентификации и аутентификации.


    1. ТРЕБОВАНИЯ К СОСТАВУ И СОДЕРЖАНИЮ РАБОТ


    1. В рамках подготовительной работы к проведению испытаний Исполнитель осуществляет анализ документации из комплекта поставки ПО СУБД Oracle Database Standard Edition 2, предоставленной Заказчиком. В случае отсутствия в комплекте поставки ПО СУБД Oracle Database Standard Edition 2 документации, необходимой для сертификационных испытаний по требованиям ЗИ от НСД (ТУ), и (или) несоответствия данной документации установленным требованиям, недостающая программная и (или) эксплуатационная документация на ПО СУБД Oracle Database Standard Edition 2 разрабатывается Исполнителем. Перечень необходимой документации для сертификационных испытаний по требованиям ЗИ от НСД (ТУ) ПО СУБД Oracle Database Standard Edition 2 приведен в п. 6.1 настоящего документа.

    2. В рамках подготовительной работы к проведению испытаний Исполнитель осуществляет разработку и согласование с Заказчиком Программы и методики проведения сертификационных испытаний по требованиям ЗИ от НСД (ТУ) ПО СУБД Oracle Database Standard Edition 2.

    3. В рамках проводимых работ необходимо оценить, что ПО СУБД Oracle Database Standard Edition 2 удовлетворяет требованиям ЗИ от НСД (ТУ), представленным в разделе 4 настоящего документа. Сертификационные испытания должны быть проведены Исполнителем в соответствии с требованиями Законодательства РФ, нормативных и руководящих документов в области сертификации СЗИ.

    4. По окончании испытаний Исполнителем оформляется Отчет (протокол) о проведении сертификационных испытаний ПО СУБД Oracle Database Standard Edition 2 на соответствие ТУ, содержащий результаты испытаний.

    По окончании проведения испытаний Исполнитель оформляет Техническое заключение по результатам проведении сертификационных испытаний ПО СУБД Oracle Database Standard Edition 2 на соответствие ТУ. В случае принятия органом по сертификации решения о соответствии ПО СУБД Oracle Database Standard Edition 2 требованиям ТУ, Исполнитель предоставляет Заказчику Сертификат соответствия в системе сертификации СЗИ по требованиям безопасности информации №РОСС RU.0001.01БИ00 ФСТЭК России.

    1. ТРЕБОВАНИЯ К ОФОРМЛЕНИЮ РЕЗУЛЬТАТОВ ИСПЫТАНИЙ


    1. В ходе подготовительной работы до проведения сертификационных испытаний по требованиям ЗИ от НСД (ТУ) ПО СУБД Oracle Database Standard Edition 2, в случае отсутствия в комплекте поставки данного ПО документации, необходимой для сертификационных испытаний (руководство пользователя, руководство по КСЗ, тестовая документация, конструкторская (проектная) документация и т.д.), и (или) несоответствия данной документации установленным требованиям, недостающая программная и (или) эксплуатационная документация (проекты документов) на ПО СУБД Oracle Database Standard Edition 2 должна быть разработана Исполнителем.

    Перечень необходимой документации для сертификационных испытаний по требованиям ЗИ от НСД (ТУ) ПО СУБД Oracle Database Standard Edition 2:

    • ТУ (документ должен содержать требования по ЗИ от НСД, представленные в разделе 4 настоящего документа);

    • руководство для пользователя (документ должен соответствовать требованиям, представленным в разделе 4 настоящего документа);

    • руководство по КСЗ (документ должен соответствовать требованиям, представленным в разделе 4 настоящего документа);

    • тестовая документация (документ должен соответствовать требованиям, представленным в разделе 4 настоящего документа);

    • конструкторская (проектная) документация (документ должен соответствовать требованиям, представленным в разделе 4 настоящего документа).

    В рамках подготовительной работы к проведению испытаний Исполнитель осуществляет разработку и согласование с Заказчиком Программы и методики проведения сертификационных испытаний по требованиям ЗИ от НСД (ТУ) ПО СУБД Oracle Database Standard Edition 2.

    1. По результатам испытаний Исполнителем должен быть разработан Отчет (протокол) о проведении сертификационных испытаний ПО СУБД Oracle Database Standard Edition 2 на соответствие требованиям ЗИ от НСД (ТУ).

    Также по результатам испытаний Исполнителем должно быть разработано Техническое заключение по результатам проведении сертификационных испытаний ПО СУБД Oracle Database Standard Edition 2 на соответствие требованиям ЗИ от НСД (ТУ).

    1. Разработанные документы должны быть утверждены (согласованы) и подписаны уполномоченными лицами Исполнителя.


    1. ОТЧЕТНЫЕ ДОКУМЕНТЫ


    1. До начала проведения сертификационных испытаний Исполнитель должен предоставить Заказчику необходимую для сертификационных испытаний по требованиям ЗИ от НСД (ТУ) документацию:

    • ТУ;

    • руководство для пользователя;

    • руководство по КСЗ;

    • тестовая документация;

    • конструкторская (проектная) документация.

    • дополнительная программная и (или) эксплуатационная документация на ПО СУБД Oracle Database Standard Edition 2 (разрабатывается в случае необходимости, обоснование необходимости разработки данной документации приведено в п. 6.1 настоящего документа).

    1. До начала проведения сертификационных испытаний Исполнитель должен предоставить Заказчику Программу и методики проведения сертификационных испытаний по требованиям ЗИ от НСД (ТУ) ПО СУБД Oracle Database Standard Edition 2.

    2. По результатам проведения сертификационных испытаний Исполнитель должен предоставить Заказчику Отчет (протокол) о проведении сертификационных испытаний ПО СУБД Oracle Database Standard Edition 2 на соответствие требованиям ЗИ от НСД (ТУ) и Техническое заключение по результатам проведении сертификационных испытаний ПО СУБД Oracle Database Standard Edition 2 на соответствие требованиям ЗИ от НСД (ТУ).

    3. По результатам проведения сертификационных испытаний, в случае принятия решения органом по сертификации о соответствии ПО СУБД Oracle Database Standard Edition 2 требованиям ЗИ от НСД (ТУ), Исполнитель должен предоставить Заказчику Сертификат соответствия в системе сертификации СЗИ по требованиям безопасности информации №РОСС RU.0001.01БИ00 ФСТЭК России.


    1. ТРЕБОВАНИЯ К ИСПОЛНИТЕЛЮ РАБОТ


    1. Работы по проведению сертификационных испытаний по требованиям ЗИ от НСД (ТУ) ПО СУБД Oracle Database Standard Edition 2 должны осуществляться Исполнителем – организацией, удовлетворяющей требованиям, представленным в
      пп. 8.1.1, 8.1.2 настоящего документа.

    1. Исполнитель должен обладать аттестатом аккредитации испытательной лаборатории системы сертификации средств защиты информации ФСТЭК России по требованиям безопасности информации.

    2. В состав проектной команды, представленной Исполнителем для проведения работ, должны входить специалисты, обладающие опытом проведения сертификационных испытаний и аудита информационной безопасности программного обеспечения не менее 3 лет.

    написать администратору сайта