- •Об'єкт дослідження
- •Мета і призначення ксзі Мета створення ксзі
- •Призначення ксзі
- •Нормативно-правові документи, які регламентують порядок захисту інформації
- •Перелік об’єктів, що підлягають захисту:
- •Організаційні заходи щодо керування доступом
- •Організаційні заходи щодо реєстрації та обліку мні та документів
- •Організаційні заходи щодо забезпечення цілісності інформації
- •Організаційні заходи щодо антивірусного захисту інформації
- •Резервне копіювання, архівування та відновлення інформації
- •Експлуатаційні та організаційно-розпорядчі документи
- •Модель загроз
- •Вимоги до комплексної системи захисту інформації.
- •1 Вимоги до захисту інформації від несанкціонованого доступу.
- •Адміністративна конфіденційність
- •Довірча конфіденційність
- •Відновлення після збоїв
- •Реєстрація
- •Ідентифікація та аутентифікація
- •Достовірний канал
- •Розподіл обов’язків
- •Цілісність комплексу засобів захисту
- •2 Вимоги до захисту інформації від витоку технічними каналами
- •3 Вимоги щодо організаційних, інженерно-технічних та інших заходів захисту
- •Вимоги до проектної та експлуатаційної документації.
- •Етапи виконання робіт.
- •Порядок внесення змін і доповнень до тз.
- •Порядок проведення випробувань комплексної системи захисту інформації.
Відновлення після збоїв
КЗЗ повинен реалізовувати рівень ДВ-1 - ручне відновлення після збоїв.
До переліку подій, після яких КЗЗ має переводити АС у стан блокування подальшої роботи, повинні бути внесені відмови або переривання процесів завантаження АС, ініціалізації та перевірки цілісності КЗЗ, процедур автентифікації користувачів, процедур ведення журналу реєстрації подій.
Повернення АС до нормального функціонування може бути здійснено тільки після втручання адміністратора безпеки або користувачів, яким надані відповідні повноваження.
Повторна інсталяція КЗЗ можлива після копіювання адміністратором безпеки журналу подій на носій інформації для проведення аналізу можливих фактів порушень політики безпеки. За результатами робіт складається відповідний акт.
Реєстрація
КЗЗ повинен реалізовувати рівень НР-2 - захищений журнал.
КЗЗ повинен бути здатним здійснювати реєстрацію таких подій, що мають безпосереднє відношення до безпеки:
-
вхід/вихід користувача в систему (псевдонім користувача, дата, час);
-
реєстрацію та видалення із системи користувачів (псевдонім користувача, дата, час);
-
зміну пароля (псевдонім користувача, дата, час);
-
виведення документа на принтер (псевдонім користувача, ідентифікатор файлу, серійний номер носія інформації, дата, час);
-
створення, доступ та знищення файлів, які зберігаються на носії інформації (псевдонім користувача, ідентифікатор файлу, серійний номер носія інформації, дата, час);
-
виявлення фактів порушення цілісності КЗЗ (код порушення, псевдонім користувача, дата, час).
КЗЗ повинен забезпечувати захист журналу реєстрації від несанкціонованого ознайомлення, модифікації або знищення.
Адміністратор безпеки повинен мати в своєму розпорядженні засоби перегляду і аналізу журналу реєстрації.
Ідентифікація та аутентифікація
КЗЗ повинен реалізовувати рівень НИ-2 - одиночнаідентифікація і автентифікація користувачів.
Кожний користувач повинен однозначно ідентифікуватися КЗЗ на підставі введеного імені (псевдоніму).
Перш ніж дозволити будь-якому користувачу виконувати будь-які інші, контрольовані КЗЗ дії, КЗЗ повинен автентифікувати цього користувача на підставі введеного ним пароля.
Для визначення псевдоніму та пароля повинна використовуватися буквено-цифрова клавіатура. Кількість символів у паролі повинно бути не менше 8.
КЗЗ повинен забезпечувати захист даних автентифікації від несанкціонованого ознайомлення, модифікації або знищення.
Достовірний канал
КЗЗ повинен реалізовувати рівень НК-1 - однонаправлений достовірний канал.
Достовірний канал повинен використовуватися для початкової ідентифікації і автентифікації користувача. Зв’язок з використанням цього каналу повинен ініціюватися виключно користувачем.
Розподіл обов’язків
КЗЗ повинен реалізовувати рівень НО-1 – виділення адміністратора.
Повинні бути визначені ролі адміністратора і звичайного користувача.
Роль адміністратора повинна забезпечувати виконання функцій, визначених політикою послуги “мінімальна адміністративна конфіденційність”.
Роль звичайного користувача повинна бути обмежена функціями, необхідними для роботи із секретними даними, що містяться на носії інформації.
Функції, притаманні кожній з ролей, повинні бути мінімізовані так, щоб містити лише ті функції, які необхідні для виконання цієї ролі.
Фізична особа повинна мати можливість виступати в певній ролі лише в тому разі, якщо у процесі автентифікації вона визначена як особа, якій притаманна ця роль.