Викиучебник

Курс лекций Защита Информации/Концепция защиты от НСД: различия между версиями

Интерактивная навигация по истории
← Предыдущая правкаСледующая правка →
Содержимое удалено Содержимое добавлено
ВизуальныйВики-текст
Нет описания правки
Нет описания правки
Строка 8:
* Защита должна обеспечиваться на всех этапах жизненного цикла [[../Основные понятия и определения#Автоматизированная система в защищенном исполнении (АСЗИ)| АСЗИ]] на всех технологических этапах обработки информации во всех режимах функционирования технических, программных и программно-технических средств [[../Основные понятия и определения#Автоматизированная система в защищенном исполнении (АСЗИ)| АСЗИ]].
* Система защиты должна контролировать доступ к защищаемой информации, обрабатывающейся в [[../Основные понятия и определения#Автоматизированная система в защищенном исполнении (АСЗИ)| АСЗИ]].
* Система защиты должна обеспечивать шифрование информации, ограничивать доступ при её передаче по каналам связи, не защищенным от [[../Основные понятия и определения#Защита от НСД к информации|защиты от НСД к информации]] организационно-техническими мерами.
* [[../Основные понятия и определения#Автоматизированная система в защищенном исполнении (АСЗИ)| АСЗИ]], в которой обрабатывается информация, содержащая сведения, составляющие государственную тайну и служебную информацию ограниченного распространения, а также для которой установлены особые правила доступа к информационным ресурсам, не должны включаться в состав средств, имеющих доступ в Интернет.
* В системах защиты должны использоваться только средства защиты от [[../Основные понятия и определения#Защита от НСД к информации|защиты от НСД к информации]], сертифицированные в установленном порядке в системе сертификации ФСБ РФ (или ФСТЭК РФ) или средства защиты, на которые получены положительные заключения экспертных организаций о соответствии указанных средств предъявляемым ним требованиям. Любые другие средства защиты, например штатные средства в составе общесистемного ПО или СУБД в систему защиты не включаются, но могут использоваться для создания дополнительных рубежей защиты.
* Система защиты должна регистрировать события, связанные с обеспечением защиты.
* Должна быть организована разрешительная система доступа к информационным ресурсам АСЗИ и которой разрешено только то, что описано в установленных [[../Основные понятия и определения#Право доступа|правах доступа]]. Пользователям [[../Основные понятия и определения#Автоматизированная система в защищенном исполнении (АСЗИ)| АСЗИ]] предоставляется право использовать только те ресурсы, которые необходимы им для выполнения установленных функциональных обязанностей.
* Доступ к защищаемой информации к [[../Основные понятия и определения#Автоматизированная система в защищенном исполнении (АСЗИ)| АСЗИ]] должен быть персонифицирован. Каждый пользователь должен иметь и предъявлять при обращении к АСЗИ атрибуты безопасности, включающие уникальный идентификатор пользователя, [[../Основные понятия и определения#Пароль|пароль]] и/или аутентифицирующую информацию.
* Должен быть определён порядок смены атрибутов безопасности пользователей.
* Должен быть определен круг пользователей и должны быть назначены [[../Основные понятия и определения#Администратор безопасности|администраторы безопасности]] .
* Состав технических, программных и программно-технических средств [[../Основные понятия и определения#Автоматизированная система в защищенном исполнении (АСЗИ)| АСЗИ]] должен быть минимально достаточным для выполнения [[../Основные понятия и определения#Автоматизированная система в защищенном исполнении (АСЗИ)| АСЗИ]] своего назначения.
* Технические, программные и программно-технические средства [[../Основные понятия и определения#Автоматизированная система в защищенном исполнении (АСЗИ)| АСЗИ]] должны удовлетворять требованиям, предъявляемыми им средствами и системой защиты.
* Эксплуатация [[../Основные понятия и определения#Автоматизированная система в защищенном исполнении (АСЗИ)| АСЗИ]] возможна только после получения положительного заключения экспертной организации о соответствии системы защиты требуемому уровню защиты от [[../Основные понятия и определения#Защита от НСД к информации|защиты от НСД к информации]].
* Изменение технических, программных и программно-технических средств [[../Основные понятия и определения#Автоматизированная система в защищенном исполнении (АСЗИ)| АСЗИ]] в процессе эксплуатации системы не должны приводить к нарушениям в её штатной работе, включая штатную работу системы защиты или к образованию каналов [[../Основные понятия и определения#Утечка информации|утечки информации]] .
* Зашифрованная информация и носители зашифрованной информации, если ранее данные носители не содержали незашифрованную защищаемую информацию, являются несекретными. Порядок пересылки, хранения и учета таких носителей определяется политикой безопасности организации, которая эксплуатирует [[../Основные понятия и определения#Автоматизированная система в защищенном исполнении (АСЗИ)| АСЗИ]].
* Должна быть предусмотрена возможность контроля, правильного функционирования средств и систем защиты. Контроль может быть либо периодическим, либо инициироваться по мере необходимости контролирующими органами.
* В случае лишения пользователя прав доступа его пароли и аутентифицирующая информация должны ликвидироваться.
Источник — https://ru.wikibooks.org/wiki/Курс_лекций_Защита_Информации/Концепция_защиты_от_НСД