- •Основы проектирования защищенных инфокоммуникационных систем
- •Общие положения
- •Методический документ применяется для выбора и реализации требований о защите информации, не составляющей
- •Выбор мер защиты информации
- •Эксплуатационная документация на систему защиты информации разрабатывается с учетом национальных стандартов и, как
- •Классификация информационной системы
- •Степень возможного ущерба может быть:
- •Масштаб информационной системы определяется ее назначением и распределенностью сегментов.
- •Определение класса защищенности при обработке персональных данных
- •Определение угроз безопасности информации в информационной системе
- •Модель угроз безопасности информации
- •Выбор мер защиты информации
- •Меры защиты информации, выбираемые для реализации в информационной системе, должны обеспечивать блокирование одной
- •Общий порядок действий по выбору мер защиты информации для их реализации в информационной
- •Определение базового набора мер защиты информации
- •Адаптация базового набора мер защиты информации
- •Адаптация базового набора мер защиты информации, как правило, предусматривает исключение мер, непосредственно связанных
- •Уточнение адаптированного базового набора мер защиты информации
- •Вслучае, если адаптированный базовый набор мер защиты информации не обеспечивает блокирование всех угроз
- •Дополнение уточненного адаптированного базового набора мер защиты информации
- •При дополнении уточненного адаптированного базового набора мер защиты информации возможны следующие действия:
- •Применение компенсирующих мер защиты информации
- •При этом должно быть проведено обоснование применения компенсирующих мер защиты информации, включающее:
- •ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЕЙ, ЯВЛЯЮЩИХСЯ РАБОТНИКАМИ ОПЕРАТОРА
- •Требования к реализации ИАФ.1
- •Пользователи информационной системы должны однозначно идентифицироваться и аутентифицироваться для всех видов доступа, кроме
- •Требования к усилению ИАФ.1
- •Винформационной системе должна обеспечиваться многофакторная (двухфакторная) аутентификация при доступе в систему с правами
- •Содержание базовой меры ИАФ.1
- •ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ УСТРОЙСТВ, В ТОМ ЧИСЛЕ СТАЦИОНАРНЫХ, МОБИЛЬНЫХ И ПОРТАТИВНЫХ
- •Требования к реализации ИАФ.2
- •Содержание базовой меры ИАФ.2
- •УПРАВЛЕНИЕ ИДЕНТИФИКАТОРАМИ, В ТОМ ЧИСЛЕ СОЗДАНИЕ, ПРИСВОЕНИЕ, УНИЧТОЖЕНИЕ ИДЕНТИФИКАТОРОВ
- •Требования к реализации ИАФ.3
- •Требование к усилению ИАФ.3
- •Содержание базовой меры ИАФ.3
- •УПРАВЛЕНИЕ СРЕДСТВАМИ АУТЕНТИФИКАЦИИ, В ТОМ ЧИСЛЕ ХРАНЕНИЕ, ВЫДАЧА, ИНИЦИАЛИЗАЦИЯ, БЛОКИРОВАНИЕ СРЕДСТВ АУТЕНТИФИКАЦИИ И
- •Требования к реализации ИАФ.4
- ••установление характеристик пароля (при использовании в механизмов аутентификации на основе пароля):
- •Требование к усилению ИАФ.4
- •в) длина пароля не менее шести символов, алфавит пароля не менее 70 символов,
- •В информационной системе должно быть обеспечено использование серверов и (или) программного обеспечения аутентификации
- •Содержание базовой меры ИАФ.4
- •ЗАЩИТА ОБРАТНОЙ СВЯЗИ ПРИ ВВОДЕ АУТЕНТИФИКАЦИОННОЙ ИНФОРМАЦИИ
- •Требования к реализации ИАФ.5
- •Содержание базовой меры ИАФ.5
- •ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЕЙ, НЕ ЯВЛЯЮЩИХСЯ РАБОТНИКАМИ ОПЕРАТОРА (ВНЕШНИХ ПОЛЬЗОВАТЕЛЕЙ)
- •Требования к реализации ИАФ.6
- •Идентификация и аутентификация внешних пользователей в целях предоставления государственных услуг осуществляется в том
- •Содержание базовой меры ИАФ.6
- •ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ ОБЪЕКТОВ ФАЙЛОВОЙ СИСТЕМЫ, ЗАПУСКАЕМЫХ И ИСПОЛНЯЕМЫХ МОДУЛЕЙ, ОБЪЕКТОВ СИСТЕМ УПРАВЛЕНИЯ
- •Требования к реализации ИАФ.7
- •Содержание базовой меры ИАФ.7
При дополнении уточненного адаптированного базового набора мер защиты информации возможны следующие действия:
•может быть обосновано, что меры защиты информации, включенные в уточненный адаптированный базовый набор, достаточны для выполнения дополнительных требований, в этом случае дополнение уточненного адаптированного базового набора мер защиты информации не требуется;
•могут быть усилены требования к некоторым мерам защиты информации, ранее включенным в уточненный адаптированный базовый набор мер защиты информации, до уровня, обеспечивающего выполнение дополнительных требований;
•может быть дополнен уточненный адаптированный базовый набор мер защиты информации мерами защиты информации для выполнения дополнительных требований в случае, если такие меры не установлены.
Применение компенсирующих мер защиты информации
Сформированный набор мер защиты информации может содержать меры, которые по каким-либо причинам делает невозможным или крайне затруднительным их реализацию в информационной системе в рамках ее системы защиты информации. В таких случаях у заказчика, оператора и проектировщика есть возможность заменить соответствующие меры защиты информации на компенсирующие меры защиты информации.
В качестве исходных данных для разработки компенсирующих мер защиты информации, в первую очередь, необходимо рассматривать:
•приложение № 2 к Требованиям о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденным приказом ФСТЭК России от 11 февраля 2013 г. № 17;
•международные, национальные стандарты, стандарты организаций в области информационной безопасности;
•результаты собственных разработок.
При этом должно быть проведено обоснование применения компенсирующих мер защиты информации, включающее:
•изложение причин исключения меры (мер) защиты информации; сопоставление исключаемой меры защиты информации с блокируемой угрозой безопасности информации;
•описание содержания компенсирующих мер защиты информации;
•сравнительный анализ компенсирующих мер защиты информации с исключаемыми мерами защиты информации;
•аргументацию, что предлагаемые компенсирующие меры защиты информации обеспечивают адекватное блокирование угроз безопасности информации.
Разработанное обоснование должно быть представлено при проведении аттестационных испытаний. При аттестационных испытаниях с учетом представленного обоснования должны быть оценены достаточность и адекватность компенсирующих мер для блокирования угроз безопасности информации.
ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЕЙ, ЯВЛЯЮЩИХСЯ РАБОТНИКАМИ ОПЕРАТОРА
ИАФ.1
Требования к реализации ИАФ.1
При доступе в информационную систему должна осуществляться идентификация и аутентификация пользователей, являющихся работниками оператора, и процессов, запускаемых от имени этих пользователей, а также процессов, запускаемых от имени системных учетных записей.
К внутренним пользователям относятся должностные лица оператора, выполняющие свои должностные обязанности с использованием информации, информационных технологий и технических средств информационной системы в соответствии с должностными регламентами утвержденными оператором и которым в информационной системе присвоены учетные записи.
В качестве внутренних пользователей дополнительно рассматриваются должностные лица обладателя информации, заказчика, уполномоченного лица и оператора иной информационной системы, а также лица, привлекаемые на договорной основе для обеспечения функционирования информационной системы в соответствии с организационно-распорядительными документами оператора и которым в информационной системе также присвоены учетные записи.
Пользователи информационной системы должны однозначно идентифицироваться и аутентифицироваться для всех видов доступа, кроме тех видов доступа, которые определяются как действия, разрешенные до идентификации и аутентификации в соответствии с мерой защиты информации УПД.11.
Аутентификация пользователя осуществляется с использованием паролей, аппаратных средств, биометрических характеристик, иных средств или в случае многофакторной (двухфакторной) аутентификации – определенной комбинации указанных средств.
В информационной системе должна быть обеспечена возможность однозначного сопоставления идентификатора пользователя с запускаемыми от его имени процессами.
Правила и процедуры идентификации и аутентификации пользователей регламентируются в организационно- распорядительных документах по защите информации.
Требования к усилению ИАФ.1
Винформационной системе должна обеспечиваться многофакторная (двухфакторная) аутентификация для удаленного доступа в систему с правами привилегированных учетных записей:
•с использованием сети связи общего пользования, в том числе Интернет;
•без использования сети связи общего пользования.
Винформационной системе должна обеспечиваться многофакторная (двухфакторная) аутентификация для удаленного доступа в систему с правами непривилегированных учетных записей:
•с использованием сети связи общего пользования, в том числе сети Интернет;
•без использования сети связи общего пользования.
Винформационной системе должна обеспечиваться многофакторная (двухфакторная) аутентификация для локального доступа в систему с правами привилегированных учетных записей.
Винформационной системе должна обеспечиваться многофакторная (двухфакторная) аутентификация для локального доступа в систему с правами непривилегированных учетных записей.
Винформационной системе должна обеспечиваться многофакторная (двухфакторная) аутентификация при доступе в систему с правами привилегированных учетных записей (администраторов), где один из факторов обеспечивается аппаратным устройством аутентификации, отделенным от информационной системы, к которой осуществляется доступ.
Винформационной системе должна обеспечиваться многофакторная (двухфакторная) аутентификация при доступе в систему с правами непривилегированных учетных записей (пользователей), где один из факторов обеспечивается устройством, отделенным от информационной системы, к которой осуществляется доступ.
Винформационной системе должен использоваться механизм одноразовых паролей при аутентификации пользователей, осуществляющих удаленный или локальный доступ.
Винформационной системе для аутентификации пользователей должно обеспечиваться применение в соответствии с законодательством Российской Федерации криптографических методов защиты информации.
Содержание базовой меры ИАФ.1
ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ УСТРОЙСТВ, В ТОМ ЧИСЛЕ СТАЦИОНАРНЫХ, МОБИЛЬНЫХ И ПОРТАТИВНЫХ
ИАФ.2