Требования к защите секретной информации (по ГОСТу)

Подсистема управления доступом должна:
1. Идентифицировать и проверять подлинность субъектов доступа при
входе в систему. Причем это должно осуществляться по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов.
2. Идентифицировать терминалы, ЭВМ, узлы компьютерной сети, каналы связи, внешние устройства ЭВМ по их логическим адресам (номерам).
3. По именам идентифицировать программы, тома, каталоги, файлы,
записи и поля записей.
4. Осуществлять контроль доступа субъектов к защищаемым ресурсам
в соответствии с матрицей доступа.
5. Управлять потоками информации с помощью меток конфиденциальности. При этом уровень конфиденциальности накопителя должен быть не ниже уровня конфиденциальности записываемой на него информации.
Подсистема регистрации и учета должна:
1. Регистрировать вход (выход) субъектов доступа в систему (из системы) либо регистрировать загрузку и инициализацию операционной системы и ее программного останова. При этом в параметрах регистрации указываются:
• дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы;
• результат попытки входа — успешная или неуспешная
(при НСД (несанкционированный доступ));
• идентификатор (код или фамилия) субъекта, предъявленный при
попытке доступа;
• код или пароль, предъявленный при неуспешной попытке.
Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС (автоматизированные системы).
2. Регистрировать выдачу печатных (графических) документов на «твердую» копию. Выдача должна сопровождаться автоматической маркировкой каждого листа (страницы) документа порядковым номером и учетными реквизитами АС с указанием на последнем листе документа общего количества страниц. В параметрах регистрации указываются:
• дата и время выдачи (обращения к подсистеме вывода);
• краткое содержание документа (наименование, вид, код, шифр) и
уровень его конфиденциальности;
• спецификация устройства выдачи (логическое имя (номер) внешнего устройства);
• идентификатор субъекта доступа, запросившего документ;
• объем фактически выданного документа (количество страниц, листов, копий) и результат выдачи (успешный, неуспешный).
3. Регистрировать запуск (завершение) программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов.
В параметрах регистрации указывается:
• дата и время запуска;
• имя (идентификатор) программы (процесса, задания);
• идентификатор субъекта доступа, запросившего программу (процесс, задание);
• результат запуска (успешный, неуспешный – несанкционированный).
4. Регистрировать попытки доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам. В параметрах регистрации указывается:
• дата и время попытки доступа к защищаемому файлу с указанием ее результата: (успешная, неуспешная — несанкционированная);
• идентификатор субъекта доступа;
• спецификация защищаемого файла;
• имя программ (процесса, задания, задачи), осуществляющих доступ к файлам;
• вид запрашиваемой операции (чтение, запись, удаление, выполнение, расширение и т.п.).
5. Регистрировать попытки доступа программных средств к следующим дополнительным защищаемым объектам доступа:
терминалам, ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей.
В параметрах регистрации указывается:
• дата и время попытки доступа к защищаемому файлу с указанием
ее результата (успешная, неуспешная — несанкционированная);
• идентификатор субъекта доступа;
• спецификация защищаемого объекта (логическое имя (номер));
• имя программ (процесса, задания, задачи), осуществляющих доступ к файлам;
• вид запрашиваемой операции (чтение, запись, монтирование,
захват и т.п.).
6. Регистрировать изменения полномочий субъектов доступа, а также статуса объектов доступа. В параметрах регистрации указывается:
• дата и время изменения полномочий;
• идентификатор субъекта доступа (администратора), осуществившего изменения.

7. Осуществлять автоматический учет создаваемых защищаемых файлов с помощью их дополнительной маркировки, используемой в подсистеме управления доступом. Маркировка должна отражать уровень конфиденциальности объекта.
8. Проводить учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку).
9. Проводить учет защищаемых носителей с регистрацией их выдачи (приема) в специальном журнале (картотеке).

10. Проводить несколько видов учета (дублирующих) защищаемых носителей информации.
11. Осуществлять очистку (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей. При чем очистка должна осуществляется двукратной произвольной записью в освобождаемую область памяти, ранее использованную для хранения защищаемых данных (файлов).
12. Сигнализировать о попытках нарушения защиты.
Подсистема обеспечения целостности должна:
1. Обеспечивать целостность программных средств, обрабатываемой информации, а также неизменность программной среды.
При этом:
• целостность проверяется при загрузке системы по контрольным суммам компонент;
• целостность программной среды обеспечивается использованием трансляторов с языка высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации.

2. Осуществлять физическую охрану (устройств и носителей информации). При этом должно предусматриваться постоянное наличие охраны на территории здания и помещений, где находится АС. Охрана должна производиться с помощью технических средств охраны и специального персонала, а также с использованием строгого пропускного режима и специального оборудования в помещении АС.
3. Предусматривать наличие администратора или целой службы защиты информации, ответственной за ведение, нормальное функционирование и контроль работы системы. Администратор должен иметь свой терминал и необходимые средства оперативного контроля и воздействия на безопасность АС.

Права на статью принадлежат её автору. Перепечатка, использование отдельных частей и т.д. в личных целях на других ресурсах разрешена только с устного соглашения автора.

Copyright (C) 2005 Satanael

Оставьте комментарий