- •Основы проектирования защищенных инфокоммуникационных систем
- •МЕРЫ ЗАЩИТЫ ИНФОРМАЦИИ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ
- •Общие положения
- •Методический документ применяется для выбора и реализации требований о защите информации, не составляющей
- •Выбор мер защиты информации
- •Эксплуатационная документация на систему защиты информации разрабатывается с учетом национальных стандартов и, как
- •Классификация информационной системы
- •Степень возможного ущерба может быть:
- •Для определения степени возможного ущерба могут применяться национальные стандарты и (или) методические документы,
- •Определение класса защищенности при обработке персональных данных
- •Определение угроз безопасности информации в информационной системе
- •Модель угроз безопасности информации
- •Выбор мер защиты информации
- •Меры защиты информации, выбираемые для реализации в информационной системе, должны обеспечивать блокирование одной
- •Общий порядок действий по выбору мер защиты информации для их реализации в информационной
- •Определение базового набора мер защиты информации
- •Адаптация базового набора мер защиты информации
- •Адаптация базового набора мер защиты информации, как правило, предусматривает исключение мер, непосредственно связанных
- •Уточнение адаптированного базового набора мер защиты информации
- •Вслучае, если адаптированный базовый набор мер защиты информации не обеспечивает блокирование всех угроз
- •Дополнение уточненного адаптированного базового набора мер защиты информации
- •При дополнении уточненного адаптированного базового набора мер защиты информации возможны следующие действия:
- •Применение компенсирующих мер защиты информации
- •При этом должно быть проведено обоснование применения компенсирующих мер защиты информации, включающее:
- •СОДЕРЖАНИЕ МЕР ЗАЩИТЫ ИНФОРМАЦИИ В ИНФОРМАЦИОННОЙ СИСТЕМЕ
- •ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЕЙ, ЯВЛЯЮЩИХСЯ РАБОТНИКАМИ ОПЕРАТОРА
- •Требования к реализации ИАФ.1
- •Пользователи информационной системы должны однозначно идентифицироваться и аутентифицироваться для всех видов доступа, кроме
- •Требования к усилению ИАФ.1
- •Винформационной системе должна обеспечиваться многофакторная (двухфакторная) аутентификация при доступе в систему с правами
- •Содержание базовой меры ИАФ.1
- •ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ УСТРОЙСТВ, В ТОМ ЧИСЛЕ СТАЦИОНАРНЫХ, МОБИЛЬНЫХ И ПОРТАТИВНЫХ
- •Требования к реализации ИАФ.2
- •Содержание базовой меры ИАФ.2
- •УПРАВЛЕНИЕ ИДЕНТИФИКАТОРАМИ, В ТОМ ЧИСЛЕ СОЗДАНИЕ, ПРИСВОЕНИЕ, УНИЧТОЖЕНИЕ ИДЕНТИФИКАТОРОВ
- •Требования к реализации ИАФ.3
- •Требование к усилению ИАФ.3
- •Содержание базовой меры ИАФ.3
- •УПРАВЛЕНИЕ СРЕДСТВАМИ АУТЕНТИФИКАЦИИ, В ТОМ ЧИСЛЕ ХРАНЕНИЕ, ВЫДАЧА, ИНИЦИАЛИЗАЦИЯ, БЛОКИРОВАНИЕ СРЕДСТВ АУТЕНТИФИКАЦИИ И
- •Требования к реализации ИАФ.4
- ••установление характеристик пароля (при использовании в механизмов аутентификации на основе пароля):
- •Требование к усилению ИАФ.4
- •в) длина пароля не менее шести символов, алфавит пароля не менее 70 символов,
- •В информационной системе должно быть обеспечено использование серверов и (или) программного обеспечения аутентификации
- •Содержание базовой меры ИАФ.4
- •ЗАЩИТА ОБРАТНОЙ СВЯЗИ ПРИ ВВОДЕ АУТЕНТИФИКАЦИОННОЙ ИНФОРМАЦИИ
- •Требования к реализации ИАФ.5
- •Содержание базовой меры ИАФ.5
- •ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЕЙ, НЕ ЯВЛЯЮЩИХСЯ РАБОТНИКАМИ ОПЕРАТОРА (ВНЕШНИХ ПОЛЬЗОВАТЕЛЕЙ)
- •Требования к реализации ИАФ.6
- •Идентификация и аутентификация внешних пользователей в целях предоставления государственных услуг осуществляется в том
- •Содержание базовой меры ИАФ.6
- •ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ ОБЪЕКТОВ ФАЙЛОВОЙ СИСТЕМЫ, ЗАПУСКАЕМЫХ И ИСПОЛНЯЕМЫХ МОДУЛЕЙ, ОБЪЕКТОВ СИСТЕМ УПРАВЛЕНИЯ
- •Требования к реализации ИАФ.7
- •Содержание базовой меры ИАФ.7
Содержание базовой меры ИАФ.1
ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ УСТРОЙСТВ, В ТОМ ЧИСЛЕ СТАЦИОНАРНЫХ, МОБИЛЬНЫХ И ПОРТАТИВНЫХ
ИАФ.2
Требования к реализации ИАФ.2
В информационной системе до начала информационного взаимодействия должна осуществляться идентификация и аутентификация устройств.
Оператором должен быть определен перечень типов устройств, используемых в информационной системе и подлежащих идентификации и аутентификации до начала информационного взаимодействия.
Идентификация устройств в информационной системе обеспечивается по логическим именам, логическим адресам и (или) по физическим адресам устройства или по комбинации имени, логического и (или) физического адресов устройства.
Аутентификация устройств в информационной системе обеспечивается с использованием соответствующих протоколов аутентификации или с применением криптографических методов защиты информации.
Правила и процедуры идентификации и аутентификации устройств регламентируются в организационно-распорядительных документах оператора по защите информации.
Содержание базовой меры ИАФ.2
УПРАВЛЕНИЕ ИДЕНТИФИКАТОРАМИ, В ТОМ ЧИСЛЕ СОЗДАНИЕ, ПРИСВОЕНИЕ, УНИЧТОЖЕНИЕ ИДЕНТИФИКАТОРОВ
ИАФ.3
Требования к реализации ИАФ.3
Оператором должны быть установлены и реализованы следующие функции управления идентификаторами пользователей и устройств в информационной системе:
•определение должностного лица (администратора) оператора, ответственного за создание, присвоение и уничтожение идентификаторов пользователей и устройств;
•формирование идентификатора, который однозначно идентифицирует пользователя и (или) устройство;
•присвоение идентификатора пользователю и (или) устройству; предотвращение повторного использования идентификатора пользователя и (или) устройства в течение установленного оператором периода времени;
•блокирование идентификатора пользователя после установленного оператором времени неиспользования.
Правила и процедуры управления идентификаторами регламентируются в организационно-распорядительных документах оператора по защите информации.
Требование к усилению ИАФ.3
Оператором должно быть исключено повторное использование идентификатора пользователя в течение:
а) не менее одного года; б) не менее трех лет;
в) в течение всего периода эксплуатации информационной системы.
Должно быть обеспечено блокирование идентификатора пользователя через период времени неиспользования:
а) не более 90 дней; б) не более 45 дней.
Должно быть обеспечено использование различной аутентификационной информации для входа в информационную систему и доступа к прикладному программному обеспечению.
Должно быть исключено использование идентификатора информационной системы при создании учетной записи пользователя публичной электронной почты или иных публичных сервисов.
Оператором должно быть обеспечено управление идентификаторами внешних пользователей, учетные записи которых используются для доступа к общедоступным ресурсам.
Содержание базовой меры ИАФ.3
УПРАВЛЕНИЕ СРЕДСТВАМИ АУТЕНТИФИКАЦИИ, В ТОМ ЧИСЛЕ ХРАНЕНИЕ, ВЫДАЧА, ИНИЦИАЛИЗАЦИЯ, БЛОКИРОВАНИЕ СРЕДСТВ АУТЕНТИФИКАЦИИ И ПРИНЯТИЕ МЕР В СЛУЧАЕ УТРАТЫ И (ИЛИ) КОМПРОМЕТАЦИИ СРЕДСТВ АУТЕНТИФИКАЦИИ
ИАФ.4
Требования к реализации ИАФ.4
Правила и процедуры управления средствами аутентификации регламентируются в организационно-распорядительных документах оператора по защите информации.
Оператором должны быть установлены и реализованы следующие функции управления средствами аутентификации пользователей и устройств в информационной системе:
•определение должностного лица (администратора) оператора, ответственного за хранение, выдачу, инициализацию, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации;
•изменение аутентификационной информации (средств аутентификации), заданных их производителями и (или) используемых при внедрении системы защиты информации информационной системы;
•выдача средств аутентификации пользователям;
•генерация и выдача начальной аутентификационной информации (начальных значений средств аутентификации);