Читайте также:
|
|
Требования к классу «2А»
Подсистема управления доступом. Требования совпадают с аналогичными требованиями класса «3П». Дополнительно СЗИ НСД должна обеспечивать:
•Проверку подлинности и контроль доступа в систему и доступа к загрузке/останову системы операторов (администраторов) по их идентификаторам (имени, номеру) и паролям кратковременного действия (не более 1-го месяца) длиной не менее 8 алфавитно-цифровых символов. Администратор не должен иметь доступ к паролям операторов. В системе должны использоваться программные средства для смены паролей самими операторами с соответствующей проверкой их уникальности и длины.
•Проверку подлинности (аутентификация) внешних устройств системы по их логическим (физическим) адресам при каждом доступе к устройству.
•Контроль доступа операторов к командам управления внешними устройствами (подсистемы управления доступом СФЗ) по принципу «в две руки» по паролям и таблицам санкционирования. Одним из операторов должен быть администратор.
•Разделение (изолирование) накопителей, содержащих конфиденциальную информацию по их уровню конфиденциальности (грифу секретности).
•Разделение (изолирование) маршрутов/протоколов (логических, физических каналов) передачи по сети пакетов данных, содержащих конфиденциальную информацию, по их уровню конфиденциальности (грифу секретности) в целях защиты от активного/пассивного прослушивания сети.
Подсистема регистрации и учета. Требования совпадают с аналогичными требованиями класса «3П». Дополнительно СЗИ НСД должна обеспечивать:
1.Регистрацию доступа «в две руки» к командам управления внешними устройствами системы. В параметрах регистрации указываются:
· время и дата попытки выдачи команды устройства;
· идентификатор (адрес, имя) устройства;
· идентификаторы (имена) операторов-участников;
· вид запрошенной команды;
· результат попытки: успешный или неуспешный - несанкционированный.
2.Регистрацию изменения полномочий персонала на доступ к ресурсам системы. В параметрах регистрации указываются:
· время и дата внесения изменения;
· идентификатор администратора;
· идентификатор персонала, у которого изменены полномочия,
· вид (тип) ресурса- объекта доступа,
· вид изменения (тип доступа, добавление, исключение и т.п.).
Должна проводится сигнализация (оперативное отображение) попыток несанкционированного доступа к ресурсам системы (внешним устройствам, томам, каталогам, файлам, программам) на рабочей станции (терминале) администратора системы. Данные сигнализации должны включать:
· идентификатор (имя, адрес) рабочей станции (терминала), с которой осуществлена несанкционированная попытка доступа к ресурсу;
· идентификатор оператора;
· идентификатор (имя) ресурса;
· вид запрошенной операции с ресурсом;
· причина отклонения доступа к ресурсу (нет привилегий, недостаточно привилегий и т.п.).
Криптографическая подсистема. Должно осуществляться шифрование (преобразование) служебной информации СЗИ НСД (идентификаторов, паролей, таблиц санкционирования) при их записи на накопители, исключающее их прямое чтение (восстановление). Должно осуществляться шифрование (преобразование) чувствительных данных системы при их записи на накопители. Должны использоваться сертифицированные криптографические средства.
Подсистема обеспечения целостности. Должен проводится контроль целостности СЗИ НСД, программ и чувствительных данных системы при загрузке системы и по командам по эталонным контрольным суммам длиной не менее 8 байт. Должны резервироваться в «горячем режиме» наиболее критичные ресурсы системы. В системе должно быть выделено резервное рабочее место администратора (рабочая станция, терминал), с которого проводится ведение СЗИ НСД, загрузка и останов системы, её восстановление и тестирование. В системе должны иметься средства автоматического восстановления СЗИ НСД. Программные средства тестирования СЗИ НСД должны постоянно присутствовать в системе и запускаться при каждой загрузке системы и по командам администратора. Должна осуществляться многоуровневая физическая охрана СВТ (устройств и носителей информации), предусматривающая постоянное наличие охраны территории и здания, где размещается АС СФЗ, с помощью технических средств охраны и специального персонала, использование строгого пропускного режима, специальное оборудование помещений АС СФЗ, включающее использование автоматизированной системы управления и контроля доступа в помещения, либо автономных устройств.
Требования к классу «2П»
Подсистема управления доступом. Требования совпадают с аналогичными требованиями класса «3П». Дополнительно СЗИ НСД должна обеспечивать:
•Проверку подлинности программ по эталонным контрольным суммам соответствующих файлов во время загрузки системы и перед каждым их запуском.
•Проверку подлинности рабочих станций, терминалов, узлов по специальному аутентификационному протоколу.
Контроль доступа операторов к программам, командам управления системой и режимам их выполнения по принципу «в две руки» по паролям и таблицам санкционирования. Одним из операторов должен быть администратор.
Контроль доступа персонала к операциям над томами, каталогами, файлами, записями по таблицам санкционирования.
Контроль доступа операторов (администраторов) к ресурсам (томам, каталогам, файлам, программам) рабочих станций, терминалов, узлов сети по спискам доступа с учётом заданных привилегий.
Подсистема регистрации и учета. Требования совпадают с аналогичными требованиями класса «2А». Дополнительно СЗИ НСД должна обеспечивать:
1.Регистрацию доступа персонала к ресурсам рабочих станций, терминалов, узлов сети. В параметрах регистрации указываются:
· время и дата попытки доступа;
· идентификатор оператора (администратора);
· спецификация (имя, адрес) рабочей станции, терминала, узла сети;
· спецификация (имя) ресурса (том, каталог, файл, программа);
· вид запрошенного доступа;
· результат попытки: успешный или неуспешный - несанкционированный.
2.Регистрацию доступа «в две руки» к программам, командам системы и режимам их выполнения. В параметрах регистрации указываются:
· время и дата попытки доступа к программе, команде;
· идентификатор (имя) программы, команды, их режима (ключа);
· идентификаторы (имена) операторов-участников;
· результат попытки: успешный или неуспешный - несанкционированный.
3.Регистрацию доступа персонала к операциям над томами, каталогами, файлами, записями. В параметрах регистрации указываются:
· время и дата попытки доступа;
· идентификатор оператора;
· спецификация (имя) тома, каталога, файла, записи;
· вид запрошенной операции (чтение, запись, удаление и т.п.);
· результат попытки: успешный или неуспешный - несанкционированный.
Криптографическая подсистема. Требования совпадают с аналогичными требованиями класса «2А».
Дата добавления: 2015-07-08; просмотров: 91 | Нарушение авторских прав
<== предыдущая страница | | | следующая страница ==> |
Требования к третьей группе | | | Требования к первой группе |