- •Основы проектирования защищенных инфокоммуникационных систем
- •МЕРЫ ЗАЩИТЫ ИНФОРМАЦИИ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ
- •УПРАВЛЕНИЕ ДОСТУПОМ СУБЪЕКТОВ ДОСТУПА
- •Требования к реализации УПД.1
- •Требования к реализации УПД.1
- •Требования к усилению УПД.1
- •Содержание базовой меры УПД.1
- •РЕАЛИЗАЦИЯ НЕОБХОДИМЫХ МЕТОДОВ УПРАВЛЕНИЯ ДОСТУПОМ
- •Требования к реализации УПД.2
- •Требования к реализации УПД.2
- •Требования к усилению УПД.2
- •Содержание базовой меры УПД.2
- •УПРАВЛЕНИЕ
- •Требования к реализации УПД.3
- •Требования к реализации УПД.3
- •Требования к усилению УПД.3
- •Требования к усилению УПД.3
- •Требования к реализации УПД.3
- •Содержание базовой меры УПД.3
- •РАЗДЕЛЕНИЕ ПОЛНОМОЧИЙ (РОЛЕЙ) ПОЛЬЗОВАТЕЛЕЙ, АДМИНИСТРАТОРОВ И ЛИЦ, ОБЕСПЕЧИВАЮЩИХ ФУНКЦИОНИРОВАНИЕ ИНФОРМАЦИОННОЙ СИСТЕМЫ
- •Требования к реализации УПД.4
- •Требования к усилению УПД.4
- •Требования к усилению УПД.4
- •Содержание базовой меры УПД.4
- •НАЗНАЧЕНИЕ МИНИМАЛЬНО НЕОБХОДИМЫХ ПРАВ И ПРИВИЛЕГИЙ ПОЛЬЗОВАТЕЛЯМ, АДМИНИСТРАТОРАМ
- •Требования к реализации УПД.5
- •Требования к усилению УПД.5
- •Содержание базовой меры УПД.5
- •ОГРАНИЧЕНИЕ НЕУСПЕШНЫХ ПОПЫТОК ВХОДА В ИНФОРМАЦИОННУЮ СИСТЕМУ
- •Требования к реализации УПД.6
- •Требования к усилению УПД.6
- •Содержание базовой меры УПД.6
- •ПРЕДУПРЕЖДЕНИЕ ПОЛЬЗОВАТЕЛЯ ПРИ ЕГО ВХОДЕ
- •Требования к реализации УПД.7
- •Содержание базовой меры УПД.7
- •ОПОВЕЩЕНИЕ ПОЛЬЗОВАТЕЛЯ ПОСЛЕ УСПЕШНОГО ВХОДА
- •Требования к реализации УПД.8
- •Содержание базовой меры УПД.8
- •ОГРАНИЧЕНИЕ ЧИСЛА ПАРАЛЛЕЛЬНЫХ СЕАНСОВ ДОСТУПА ДЛЯ КАЖДОЙ
- •Требования к реализации УПД.9
- •Требования к усилению УПД.9
- •Содержание базовой меры УПД.9
- •БЛОКИРОВАНИЕ СЕАНСА ДОСТУПА В ИНФОРМАЦИОННУЮ СИСТЕМУ ПОСЛЕ УСТАНОВЛЕННОГО ВРЕМЕНИ БЕЗДЕЙСТВИЯ (НЕАКТИВНОСТИ) ПОЛЬЗОВАТЕЛЯ
- •Требования к реализации УПД.10
- •Требования к усилению УПД.10
- •Содержание базовой меры УПД.10
- •РАЗРЕШЕНИЕ (ЗАПРЕТ) ДЕЙСТВИЙ ПОЛЬЗОВАТЕЛЕЙ, РАЗРЕШЕННЫХ ДО ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ
- •Требования к реализации УПД.11
- •Содержание базовой мерыУПД.11
- •ПОДДЕРЖКА И СОХРАНЕНИЕ АТРИБУТОВ БЕЗОПАСНОСТИ (МЕТОК БЕЗОПАСНОСТИ), СВЯЗАННЫХ С ИНФОРМАЦИЕЙ
- •Требования к реализации УПД.12
- •Требования к усилению УПД.12
- •Содержание базовой меры УПД.12
- •РЕАЛИЗАЦИЯ ЗАЩИЩЕННОГО УДАЛЕННОГО ДОСТУПА
- •Требования к реализации УПД.13
- •Требования к реализации УПД.13
- •Требования к усилению УПД.13
- •Содержание базовой меры УПД.13
- •РЕГЛАМЕНТАЦИЯ И КОНТРОЛЬ ИСПОЛЬЗОВАНИЯ
- •Требования к реализации УПД.14
- •Требования к реализации УПД.14
- •Требования к усилению УПД.14
- •Содержание базовой меры УПД.14
- •РЕГЛАМЕНТАЦИЯ И КОНТРОЛЬ ИСПОЛЬЗОВАНИЯ
- •Требования к реализации УПД.15
- •Требования к реализации УПД.15
- •Требования к усилению УПД.15
- •Содержание базовой меры УПД.15
- •УПРАВЛЕНИЕ ВЗАИМОДЕЙСТВИЕМ С ИНФОРМАЦИОННЫМИ СИСТЕМАМИ СТОРОННИХ ОРГАНИЗАЦИЙ
- •Требования к реализации УПД.16
- •Требования к реализации УПД.16
- •Требования к усилению УПД.16
- •Содержание базовой меры УПД.16
- •ОБЕСПЕЧЕНИЕ ДОВЕРЕННОЙ ЗАГРУЗКИ СРЕДСТВ ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ
- •Требования к реализации УПД.17
- •Требования к усилению УПД.17
- •Содержание базовой меры УПД.17
Требования к усилению УПД.2
В информационной системе правила разграничения доступа должны обеспечивать управление доступом субъектов:
•При входе в информационную систему;
•К техническим средствам, устройствам, внешним устройствам;
•К объектам, создаваемым общим программным обеспечением;
•К объектам, создаваемым прикладным и специальным программным обеспечением.
Содержание базовой меры УПД.2
Мера защиты |
Класс защищенности информационной системы |
|||
|
|
|
|
|
информации |
4 |
3 |
2 |
1 |
|
|
|
|
|
УПД.2 |
+ |
+ |
+ |
+ |
|
|
|
|
|
Усиление УПД.2 |
|
1, 2, 3 |
1, 2, 3 |
1, 2, 3, 4 |
|
|
|
|
|
УПРАВЛЕНИЕ
ФИЛЬТРАЦИЯ, МАРШРУТИЗАЦИЯ, КОНТРОЛЬ СОЕДИНЕНИЙ, ОДНОНАПРАВЛЕННАЯ ПЕРЕДАЧА И ИНЫЕ СПОСОБЫ УПРАВЛЕНИЯ
ИНФОРМАЦИОННЫМИ ПОТОКАМИ МЕЖДУ УСТРОЙСТВАМИ, СЕГМЕНТАМИ ИНФОРМАЦИОННОЙ СИСТЕМЫ, А ТАКЖЕ МЕЖДУ ИНФОРМАЦИОННЫМИ СИСТЕМАМИ
УПД.3
Требования к реализации УПД.3
В информационной системе должно осуществляться управление информационными потоками при передаче информации между устройствами, включающее:
•Фильтрацию информационных потоков в соответствии с правилами управления потоками, установленными оператором;
•Разрешение передачи информации в информационной системе только по маршруту, установленному оператором;
•Изменение маршрута передачи информации в случаях, установленных оператором;
•Запись во временное хранилище информации для анализа и принятия решения о возможности ее дальнейшей передачи в случаях, установленных оператором.
Требования к реализации УПД.3
Управление информационными потоками должно обеспечивать установленный оператором маршрут прохождения информации между пользователями, устройствами, сегментами в рамках информационной системы, а также между информационными системами или при взаимодействии с сетью Интернет (или другими информационно-телекоммуникационными сетями)
на основе правил управления информационными потоками, включающих контроль конфигурации информационной системы, источника и получателя передаваемой информации, структуры передаваемой информации, характеристик информационных потоков и (или) канала связи (без анализа содержания информации).
Управление информационными потоками должно блокировать передачу защищаемой информации через сеть Интернет (или другие информационно-телекоммуникационные сети)
по незащищенным линиям связи, сетевые запросы и трафик, несанкционированно исходящие из информационной системы и (или) входящие в информационную систему.
Правила и процедуры управления информационными потоками регламентируются в организационно-распорядительных документах оператора по защите информации.
Требования к усилению УПД.3
В ИС должно обеспечиваться:
•Управление информационными потоками на основе атрибутов (меток) безопасности, связанных с передаваемой информацией, источниками и получателями информации;
•Динамическое управление информационными потоками, запрещающее и (или) разрешающее передачу информации на основе анализа изменения текущего состояния информационной системы или условий ее функционирования;
•Контроль соединений между техническими средствами (устройствами), используемыми для организации информационных потоков;
В ИС должен исключаться:
•Обход правил управления информационными потоками за счет преобразования передаваемой информации;
•Обход правил управления информационными потоками за счет встраивания одних данных в другие данные информационного потока;
Требования к усилению УПД.3
Также в ИС должно обеспечиваться:
•Однонаправленная передача информации с использованием аппаратных средств;
•Управление информационными потоками на основе структуры передаваемых данных (текст, таблицы, видео-, аудио-информация);
•Управление информационными потоками на основе используемых сетевых протоколов;
•Управление информационными потоками на основе типов (расширений) файлов и (или) имен файлов;
•Возможность запрета, разрешения и изменения маршрута передачи информации только администраторами;
•Разделение информационных потоков, содержащих различные виды (категории) информации, а также отделение информации управления от пользовательской информации;
•Возможность автоматического блокирования передачи информации при выявлении в передаваемой информации вредоносных компьютерных программ;
Требования к реализации УПД.3
•Осуществляться управление информационными потоками при передаче информации между информационными системами;
•Обеспечиваться возможность фильтрации информационных потоков на уровне прикладного программного обеспечения (приложений);
•Осуществляться накопление статистических данных, проверка и фильтрация сетевых пакетов по их содержимому (технология DPI);
•Наделение трафика конкретными параметрами (в частности включение уведомлений пользователей, исключение или замена элементов трафика) в зависимости от получателя информации.
Содержание базовой меры УПД.3
Мера защиты |
Класс защищенности информационной системы |
|||
|
|
|
|
|
информации |
4 |
3 |
2 |
1 |
|
|
|
|
|
УПД.3 |
|
|
+ |
+ |
Усиление УПД.3
РАЗДЕЛЕНИЕ ПОЛНОМОЧИЙ (РОЛЕЙ) ПОЛЬЗОВАТЕЛЕЙ, АДМИНИСТРАТОРОВ И ЛИЦ, ОБЕСПЕЧИВАЮЩИХ ФУНКЦИОНИРОВАНИЕ ИНФОРМАЦИОННОЙ СИСТЕМЫ
УПД.4