Курс лекций Защита Информации/Концепция защиты от НСД: различия между версиями

Содержимое удалено Содержимое добавлено
Нет описания правки
Нет описания правки
Строка 13:
* Система защиты должна регистрировать события, связанные с обеспечением защиты.
* Должна быть организована разрешительная система доступа к информационным ресурсам АСЗИ и которой разрешено только то, что описано в установленных правах доступа. Пользователям АСЗИ предоставляется право использовать только те ресурсы, которые необходимы им для выполнения установленных функциональных обязанностей.
* Доступ к защищаемой информации к АСЗИ должен быть персонифицирован. Каждый пользователь должен иметь и предъявлять при обращении к АСЗИ атрибуты безопасности, включающие уникальный идентификатор пользователя, [[../Основные понятия и определения#Пароль|пароль]] и/или аутентифицирующую информацию.
* Должен быть определён порядок смены атрибутов безопасности пользователей.
* Должен быть определен круг пользователей и должны быть назначены [[../Основные понятия и определения#Администратор безопасности|администраторы безопасности]] .
* Состав технических, программных и программно-технических средств АСЗИ должен быть минимально достаточным для выполнения АСЗИ своего назначения.
* Технические, программные и программно-технические средства АСЗИ должны удовлетворять требованиям, предъявляемыми им средствами и системой защиты.
* Эксплуатация АСЗИ возможна только после получения положительного заключения экспертной организации о соответствии системы защиты требуемому уровню защиты от НСД к информации.
* Изменение технических, программных и программно-технических средств АСЗИ в процессе эксплуатации системы не должны приводить к нарушениям в её штатной работе, включая штатную работу системы защиты или к образованию каналов [[../Основные понятия и определения#Утечка информации|утечки информации]] .
* Зашифрованная информация и носители зашифрованной информации, если ранее данные носители не содержали незашифрованную защищаемую информацию, являются несекретными. Порядок пересылки, хранения и учета таких носителей определяется политикой безопасности организации, которая эксплуатирует АСЗИ.
* Должна быть предусмотрена возможность контроля, правильного функционирования средств и систем защиты. Контроль может быть либо периодическим, либо инициироваться по мере необходимости контролирующими органами.