2.1.2. Общие требования к комплексу защиты информации иткс

Безопасность информации в ИТКС должна обеспечиваться с учетом положений, находящейся в настоящее время на конечном этапе рассмотрения, "Доктрины информационной безопасности Российской Федерации" и нормативно-технических требований, которые необходимо выполнять при разработке и использовании защищенных информационно-телекоммуникационных систем.

Требования к обеспечению безопасности основываются на следующих основных принципах:

- комплексность реализации мероприятий, обеспечивающих равнопрочность рубежей защиты по всем возможным каналам утечки информации;

- разумная достаточность уровня обеспечения защиты, дифференцированная в соответствии со степенью важности обрабатываемой информации;

- стандартизация средств и методов защиты;

- использование защищенных средств обработки, хранения и передачи информации;

- правовая обеспеченность политики в области информационной безопасности;

- эволюционность развития средств защиты с учетом перспектив, базирующихся на достижениях современной технологии информационной безопасности.

2.1.3. Общие требования к программно-техническим средствам защиты информации.

Для достижения необходимого уровня обеспечении информационной безопасности конкретного объекта ИТКС руководствуются следующими требованиями и функциональными возможностями программно-технических средств защиты информации.

1. Комплекс средств защиты информации должен включать в себя:

- программно-технические средства (ПТС) криптографической защиты информации;

- ПТС защиты информации от несанкционированного доступа (НСД);

- технические средства защиты оборудования ИТКС и абонентских пунктов (АП) от утечки информации по техническим каналам

- организацию физической защиты объектов ИТКС.

2. Комплекс средств защиты информации должен обеспечивать комплексную защиту информации отдельно стоящих АП на базе ПЭВМ и ЛВС, входящих в состав информационных центров ИТКС. При этом требования к составу базового общесистемного и прикладного программного обеспечения и техническим характеристикам защищаемого оборудования определяются по материалам соответствующих разделов системного проекта компонентов.

3. Требования к программно-техническим средствам криптографической защиты информации:

а) комплекс средств защиты секретной информации должен разрабатываться с учетом требований ПШ-93;

б) программно-технические средства криптографической защиты информации в ИТКС должны обеспечивать выполнение следующих функций:

- защиту информации в каналах связи при ее хранении и обработке (обеспечение конфиденциальности информации);

- обеспечение целостности и подлинности передаваемой и хранимой информации (имитозащиту);

- обеспечение контроля доступа к услугам сети, оборудованию и данным абонентов;

- обеспечение живучести криптографической системы и защиту информации при компрометации части ключевой системы;

- аутентификацию сторон, устанавливающих связь (подтверждение подлинности отправителя и получателя информации);

- защиту от отказов со стороны отправителя или получателя информации;

- возможность доказательства неправомочности действий пользователей и обслуживающего персонала в сети.

в) алгоритмы шифрования и их реализация в виде аппаратных или программных средств шифрования должна отвечать требованиям к шифртехнике и соответствовать ГОСТ 28147-89. Применение алгоритмов и средств шифрования, разработанных за рубежом, недопустимо;

г) абоненты ИТКС и базы данных должны использовать абонентский принцип шифрования информации с использованием индивидуальных ключей по направлениям (парно-выборочная связь). Абонентское шифрование обеспечивает сквозную защиту сообщения по всему тракту его прохождения, защищает информацию от переадресации за счет сбоев или неисправностей аппаратно-программных средств центров коммутации;

е) ключевая система средств криптографической защиты информации должна обеспечивать возможность разграничения доступа к группам файлов (каталоги, логические диски) между конкретными пользователями и группами пользователей;

ж) абонентские пункты и специальные локальные вычислительные сети (СЛВС) со встроенными средствами шифрования должны отвечать основным криптографическим, инженерно-криптографическим, специальным требованиям и требованиям к линейной передаче для объектов, в соответствии с категорией обрабатываемой информации.

3.1. В качестве одной из мер криптографической защиты информации использовать "электронную цифровую подпись" и средства подтверждения целостности конфиденциальной информации, что позволит:

- абоненту-получателю идентифицировать источник и проверить целостность полученной информации;

- обеспечить защиту информации от подделки со стороны нелегального абонента коммуникационной сети;

- предотвратить негативные последствия ситуации, связанные с подделкой сообщения абонентом-получателем;

- предотвратить негативные последствия ситуации, связанные с отказом от факта передачи информации.

Программные средства электронной подписи должны соответствовать Государственному стандарту "Подпись цифровая электронная", ГОСТ Р 3410-94; ГОСТ Р 3411-94. Помимо этого, для обеспечения защиты от отказов пользователей от переданной или принятой информации в сети кроме цифровой подписи должна быть реализована система регистрации и квитирования прохождения сообщений с уведомлением пользователей. Данные регистрации должны храниться в течение определенного времени и предъявляться при возникновении спорных ситуаций.

4. Программно-технические средства защиты информации от НСД должны обеспечивать реализацию следующих функций:

- разграничение доступа к вычислительным ресурсам, базам данных и к информации;

- идентификацию пользователей при доступе к вычислительным ресурсам и информации;

- регистрацию действий пользователей в регистрационном протоколе;

- регистрацию в протоколе выдачи информации на печать и на сменные носители;

- тестирование средств системы защиты от НСД;

- контроль целостности программ и информации;

- обеспечение возможности смены паролей пользователей.

Система защиты от НСД реализует парольный вход пользователей в начале сеанса работы на ПЭВМ, причем пароли должны храниться в ПЭВМ в закрытом необратимым преобразованием виде. Система защиты фиксирует в регистрационном протоколе все попытки вхождения с неверно набранным паролем, при этом ограничивается как число попыток ввода пароля, так и максимальное время, отводимое на ввод пароля.

Система защиты должна блокировать возможность доступа к информации при попытках загрузки собственной копии или версии операционной системы. Система защиты от НСД накладывает требования на прикладное программное обеспечение с тем, чтобы оно не содержало средств, позволяющих пользователю создавать, удалять и модифицировать исполняемые файлы, а также осуществлять доступ к магнитным накопителям в обход средств операционной системы, осуществлять запуск других программ в обход стандартных средств операционной системы.

Система защиты от НСД реализует функции защиты программного обеспечения и информации от проникновения программных "вирусов".

5. Изменение состава используемого системного и прикладного программного обеспечения может производиться только в соответствии с предписанием специализированной организации.

6. Прикладное программное обеспечение не должно содержать средств, позволяющих пользователю:

- создавать, модифицировать и удалять исполняемые файлы;

- осуществлять доступ к магнитным накопителям в обход средств операционной системы;

- осуществлять запуск других программ в обход стандартных средств операционной системы.

7. В системе должны быть предусмотрены меры по защите программного обеспечения и информации от проникновения "вирусов".

8. Должна быть проведена специальная проверка импортного оборудования и анализ импортного ПО.

9. Должны быть предусмотрены организационно-режимные меры по обеспечению защиты информации и оборудования в ИТКС.